Pour un espace européen des données de santé dans l'intérêt des patients

• L'ESSENTIEL
  
• INTRODUCTION
  
  • I. UNE PROPOSITION DE RÈGLEMENT QUI DOIT BÉNÉFICIER PRIORITAIREMENT AUX PATIENTS
    
    • A. UNE PROPOSITION DONT LES BÉNÉFICES ATTENDUS PEUVENT ÊTRE CONSIDÉRABLES
      
      • 1. Une utilisation primaire des données de santé qui présente un intérêt incontestable pour les patients
        
        • a) Dans le cadre national
          
        • b) Dans le cadre de soins transfrontières
          
      • 2. Une utilisation secondaire des données de santé au bénéfice de la santé
        
        • a) Un avantage précieux pour la recherche médicale...
          
        • b) Qui implique des contreparties pour les patients
          
        • (1) Une utilisation en lien avec la santé
          
        • (2) Un meilleur accès aux médicaments
          
        • (3) Un système de redevances à établir
          
      • 3. Un investissement important aux externalités positives
        
        • a) Des investissements importants ...
          
        • (1) Pour les États membres et l'Union européenne
          
        • (2) Pour les professionnels de santé
          
        • b) Qui contribueront à réduire les coûts et à accroître l'efficacité du système de santé
          
    • B. UNE PROPOSITION DE RÈGLEMENT QUI DOIT RESPECTER LES COMPÉTENCES DES ÉTATS MEMBRES DANS LE DOMAINE DE LA SANTÉ
      
      • 1. Un objectif d'harmonisation du format d'enregistrement et d'échange des données de santé
        
      • 2. L'absence de base juridique se référant à la santé
        
  • II. LA NÉCESSITÉ DE GARANTIR LES DROITS PRÉVUS PAR LE RGPD
    
    • A. UNE DÉFINITION DES DONNÉES DE SANTÉ QUI DOIT ÊTRE CONFORME AU RGPD
      
      • 1. Pour les données à caractère personnel
        
      • 2. Pour les données à caractère non personnel
        
    • B. LE PRINCIPE DE MINIMISATION DES DONNÉES
      
      • 1. Un principe à mettre en oeuvre dans la proposition de règlement
        
      • 2. Des données anonymisées ou pseudonymisées
        
    • C. LE CONSENTEMENT DES PERSONNES CONCERNÉES
      
      • 1. Les règles spécifiques prévues par le RGPD pour les données de santé
        
      • 2. Le recueil du consentement laissé à la discrétion des États membres pour le traitement des données de santé à des fins d'utilisation primaire
        
      • 3. Le recueil du consentement comme règle européenne dans le cadre d'une utilisation secondaire des données de santé
        
    • D. UNE MISE EN oeUVRE DU RGPD À GARANTIR PRÉCISÉMENT
      
      • 1. Permettre aux personnes physiques d'accéder à leurs données de santé, de les contrôler et de les transmettre dans le cadre d'une utilisation primaire
        
      • 2. Des droits mis en balance avec l'efficacité du dispositif dans le cadre de l'utilisation secondaire des données
        
        • a) L'utilisation secondaire qui doit être considérée comme un usage ultérieur
          
        • b) Les finalités du traitement à des fins d'utilisation secondaire limitées
          
        • c) Un droit d'information qui doit être maintenu
          
  • III. DES CONDITIONS RESTRICTIVES POUR L'ACCÈS AUX DONNÉES
    
    • A. LE CHOIX DES DONNÉES TRAITÉES : UN ÉQUILIBRE ENTRE COÛT ET QUALITÉ
      
      • 1. Dans le cadre d'une utilisation primaire
        
      • 2. Dans le cadre d'une utilisation secondaire
        
    • B. UN ACCÈS CONTRÔLÉ AUX DONNÉES
      
      • 1. L'accès aux données pour les professionnels de santé dans le cadre de l'utilisation primaire
        
        • a) Un accès contrôlé
          
        • b) MyHealth@EU : une plateforme d'échange, pas une base de données
          
      • 2. Un accès aux données encadré dans le cadre d'une utilisation secondaire
        
        • a) Le rôle de l'organisme responsable de l'accès aux données
          
        • b) Des environnements de traitement sécurisé
          
        • c) HealthData@EU : un catalogue plus qu'une base de données
          
    • C. LA SÉCURTIÉ DES DONNÉES EN QUESTION
      
      • 1. Des risques réels
        
        • a) L'interopérabilité des applications de bien-être avec les systèmes de DME
          
        • b) Le vol de données
          
        • c) Les finalités de traitement détournées
          
      • 2. La nécessaire certification des systèmes de DME par un organisme tiers
        
      • 3. L'hébergement souverain des données de santé
        
      • 4. Le transfert de données à caractère personnel vers des États tiers
        
      • 5. Le transfert de données à caractère non personnel
        
  • IV. UN ESPACE EUROPÉEN DES DONNÉES DE SANTÉ DONT LA GOUVERNANCE DOIT ÊTRE COHÉRENTE ET PARTAGÉE
    
    • A. UNE GOUVERNANCE FAISANT INTERVENIR PLUSIEURS ENTITÉS À COORDONNER
      
      • 1. La désignation de plusieurs entités
        
        • a) Cinq entités nationales
          
        • b) Trois entités européennes
          
      • 2. La nécessité d'éviter les conflits de compétence
        
    • B. ASSOCIER DAVANTAGE LES ÉTATS MEMBRES, LES PATIENTS LES PROFESSIONNELS DE SANTÉ ET LES DÉTENTEURS DE DONNÉES
      
      • 1. Un recours trop large aux actes délégués et aux actes d'exécution
        
        • a) Des actes d'exécution qui doivent être adoptés dans le cadre de la procédure d'examen associant les États membres à la décision
          
        • b) Des dispositions essentielles du texte qui ne doivent pas être définies par des actes délégués
          
      • 2. La nécessaire participation des patients, des professionnels de santé et des détenteurs de données à la gouvernance de l'espace européen des données de santé
        
• EXAMEN EN COMMISSION
  
• PROPOSITION DE RÉSOLUTION EUROPÉENNE
  
• LISTE DES PERSONNES ENTENDUES
  

L'ESSENTIEL

La Commission européenne a présenté le 3 mai 2022 la proposition de règlement relatif à l'espace européen des données de santé - COM(2022) 197 final. Celle-ci a pour objectif de déterminer dans quelles conditions les données de santé électroniques pourront être traitées, d'une part, à des fins d'utilisation primaire, c'est-à-dire dans le but de fournir des services de santé à la personne physique concernée, et d'autre part, à des fins d'utilisation secondaire précisées à l'article 34 de la proposition de règlement parmi lesquelles la recherche.

La commission des affaires européennes du Sénat a examiné cette proposition de règlement, sur le rapport de Mmes Pascale Gruny et Laurence Harribey, et a conclu au dépôt de la proposition de résolution n° 849 (2022-2023) du 5 juillet 2023.

Après avoir mis en évidence l'intérêt d'un espace européen des données de santé, Mmes Pascale Gruny et Laurence Harribey ont formulé des propositions pour, d'une part, garantir la cohérence de la proposition de règlement avec le règlement général sur la protection des données (RGPD) et, d'autre part, assurer la circulation et la sécurité des données de santé au sein de l'Union. Enfin, elles ont plaidé pour une gouvernance partagée de cet espace européen des données de santé.

1/ S'assurer de l'intérêt de la proposition de règlement pour les patients

a/ Un intérêt incontestable du traitement à des fins d'utilisation primaire

Le dossier médical électronique (DME) présente de nombreux avantages. Il permet aux professionnels de santé de disposer d'un accès immédiat aux données de santé de leurs patients, facilitant ainsi leur prise en charge notamment lors d'une première consultation ou en cas d'urgence. Il permet également d'éviter les interactions médicamenteuses et de répéter des examens déjà prescrits, ce qui améliore la qualité des soins. Dans le cadre de soins transfrontières, les patients pourront accéder à leurs données de santé et les transmettre dans un format électronique susceptible d'être reconnu et accepté par tous les professionnels de santé dans l'Union.

b/ Un traitement à des fins d'utilisation secondaire qui devra bénéficier au secteur de la santé

Le traitement des données de santé à des fins d'utilisation secondaire présente, selon les organismes en charge de la recherche, des avantages considérables. Étant donné que les données de santé sont mises à disposition gratuitement par les patients au travers de systèmes financés par les États membres et l'Union européenne, ces derniers devraient pouvoir demander des contreparties aux utilisateurs qui accèdent aux données de santé dans le but de générer un bénéfice commercial. C'est le cas notamment des entreprises du médicament qui devront en conséquence faciliter l'accès à de nouveaux traitements. Par ailleurs, la proposition de règlement prévoit la création d'un système de redevances destiné à couvrir les coûts de mise à disposition des données. Le montant de ces redevances devra être modulé selon que la finalité du traitement présente un intérêt commercial ou non.

c/ Une proposition de règlement qui n'a pas pour objectif d'organiser la fourniture de soins de santé

La proposition de règlement relatif à l'espace européen des données de santé a pour but d'assurer la circulation des données de santé au sein de l'Union européenne. Elle établit les règles permettant l'interopérabilité des données et des systèmes de DME. Elle n'a donc pas pour objectif d'organiser la fourniture de soins de santé et notamment la télémédecine. En outre, cette compétence relève des États membres aux termes de l'article 168, paragraphe 7, du traité sur le fonctionnement de l'Union européenne. En conséquence, les rapporteurs demandent la suppression de l'article 8 de la proposition de règlement relatif à la télémédecine.

2/ Veiller à la primauté des règles de protection des données à caractère personnel

Pour les rapporteurs, il est nécessaire que les personnes physiques dont les données de santé sont traitées puissent pleinement bénéficier des droits que leur octroie le RGPD.

La question du consentement est au coeur de cette proposition de règlement. Dans le cadre d'un traitement de données à des fins d'utilisation primaire, les rapporteurs estiment qu'il appartient aux États membres, en charge de la fourniture de services de soins de santé, de déterminer si le consentement des personnes physiques concernées est nécessaire pour la création d'un DME.

Dans le cadre du traitement des données à des fins d'utilisation secondaire, les rapporteurs estiment qu'il est nécessaire de s'assurer que les personnes physiques concernées ne s'opposent pas à ce traitement. Leur consentement pourra prendre la forme d'une absence d'opposition au traitement, après qu'elles ont été dûment informées.

Les rapporteurs appellent également à ce que, dans le cadre d'un traitement à des fins d'utilisation secondaire de leurs données, les personnes physiques concernées puissent bénéficier d'une information personnalisée sur ce traitement, conformément au RGPD.

3/ Permettre la circulation des données dans un cadre sécurisé

Les articles 5 et 33 de la proposition de règlement précisent respectivement les catégories prioritaires de données de santé électroniques à caractère personnel qui devront faire l'objet d'un traitement à des fins d'utilisation primaire et les catégories minimales de données de santé électroniques qui sont destinées à une utilisation secondaire.

Pour la première catégorie, les rapporteurs proposent de rajouter les résultats des tests médicaux tels que les électrocardiogrammes et les tests de souffle effectués dans un cadre médical, compte tenu de leur intérêt pour la prise en charge du patient. Pour la seconde catégorie, les rapporteurs demandent à ne pas inclure les données issues des applications de bien-être dont la qualité est douteuse.

- Un accès aux données strictement encadré

L'accès aux données de santé doit être particulièrement encadré. Dans le cadre d'un traitement à des fins d'utilisation primaire, les rapporteurs estiment que les professionnels de santé ne devront accéder aux données que lorsqu'ils auront besoin d'en connaître pour établir un diagnostic ou proposer un traitement. Pour ce qui concerne le traitement à des fins d'utilisation secondaire, les rapporteurs estiment qu'une demande d'accès aux données ne sera satisfaite qu'après avoir été dûment examinée par un organisme responsable de l'accès aux données. Ainsi, une demande d'accès aux données ne pourrait pas être réputée délivrée si le demandeur n'a pas reçu de réponse dans un délai déterminé. En outre, les rapporteurs jugent que l'accès aux données d'un détenteur unique devrait nécessairement avoir été autorisé par un organisme responsable de l'accès aux données. Enfin, les organismes du secteur public et les institutions, organes et organismes de l'Union devront également formuler une demande d'accès aux données sur laquelle un organisme responsable de l'accès aux données sera chargé de statuer, sauf urgence de santé publique telle que définie au règlement (UE) 2022/2371.

- Des moyens renforcés pour assurer la sécurité des données

Les rapporteurs estiment que la mise à disposition des données à des fins d'utilisation secondaire dans un environnement de traitement sécurisé est essentielle pour la sécurité des données. En outre, les rapporteurs saluent le choix de la Commission de ne pas créer de bases de données regroupant les données de santé des citoyens de l'Union. En effet, les infrastructures MyHealth@EU et HealthData@EU ne sont pas des bases de données regroupant des données de santé des patients européens, la première étant un outil d'échange de données, et la seconde un catalogue de données de santé.

En outre, les rapporteurs demandent que les systèmes de DME fassent l'objet d'une certification par un tiers, organisme notifié et enregistré au niveau de l'Union européenne.

Enfin, elles préconisent que l'hébergement des données de santé, et les services associés, soient effectués sur le territoire de l'Union par une entreprise européenne dans laquelle les participations étrangères cumulées directes ou indirectes ne soient pas majoritaires.

4/ Mettre en oeuvre une gouvernance partagée et cohérente

La Commission prévoit de définir les règles techniques permettant d'assurer l'interopérabilité et la sécurité des données par le biais d'actes d'exécution, adoptés dans le cadre d'une procédure où les États membres sont simplement consultés. Pour les rapporteurs, il est nécessaire que les États membres soient davantage associés à la définition de ces règles et que la procédure retenue pour l'adoption de ces actes d'exécution prévoie un vote des représentants des États membres. De même, les rapporteurs déplorent que certains actes délégués prévus par la proposition de règlement tendent à en fixer des dispositions essentielles qui devraient être déterminées par le législateur européen. .

Par ailleurs, la proposition de règlement prévoit, au sein de chaque État membre, la désignation d'une autorité de santé numérique responsable de la mise en oeuvre des droits et obligations des patients dans le cadre du traitement à des fins d'utilisation primaire de leurs données de santé et la désignation d'un organisme responsable de l'accès aux données de santé dans le cadre du traitement à des fins d'utilisation secondaire. À l'échelle européenne, la proposition de règlement prévoit également la mise en place d'un comité de l'espace européen des données de santé chargé de coordonner les pratiques de ces deux type d'organismes. Les rapporteurs estiment que les associations de patients, les détenteurs de données et les associations de professionnels de la santé doivent être représentées au sein de ces trois entités, en raison de leurs contributions essentielles et complémentaires à l'espace européen des données de santé.

Enfin, les rapporteurs appellent à garantir les conditions d'une coopération efficace entre les entités qui seront créées à la suite de l'adoption de la proposition de règlement et les autorités de contrôle prévues par l'article 51 du RGPD (CNIL pour la France).

INTRODUCTION

Le 3 mai 2022, la Commission européenne a présenté la proposition de règlement du Parlement européen et du Conseil relatif à l'espace européen des données de santé, COM(2022) 197 final.

Dès 2019, elle avait annoncé la création d'un espace européen des données de santé qu'elle considérait comme l'une des priorités de sa mandature. Dans sa communication du 3 mai 2022 intitulée « Un espace européen des données de santé : exploiter le potentiel des données de santé pour les citoyens, les patients et l'innovation », la Commission déclarait que la numérisation est essentielle pour l'avenir des soins de santé, notamment pour soutenir la lutte contre le cancer et assurer la continuité des soins dans l'ensemble de l'Union européenne.

Dans cette proposition de règlement, la Commission distingue deux types de traitement des données de santé électroniques : le traitement à des fins d'utilisation primaire, qui a pour objectif la fourniture de services de santé visant à évaluer, maintenir ou rétablir l'état de santé de la personne physique à laquelle ces données se rapportent, et le traitement à des fins d'utilisation secondaire dont les finalités sont énumérées à l'article 34 de la proposition de règlement et qui comprennent notamment la recherche scientifique. Ce texte vise à établir des règles, des infrastructures et un cadre de gouvernance pour ces utilisations des données de santé.

Cette proposition de règlement concerne à la fois le secteur de la santé et le secteur du numérique. Dans ce domaine, elle doit s'articuler avec le règlement général sur la protection des données^1(*) (RGPD), d'une part, et la proposition de règlement fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données^2(*) ainsi que le règlement sur la gouvernance des données^3(*), d'autre part.

L'enjeu de ce texte est donc de déterminer un cadre pour le traitement des données de santé au sein de l'Union européenne qui permette de garantir les droits des personnes physiques concernées et la protection de ces données.

Ce rapport présente les modifications que la commission des affaires européennes du Sénat préconise d'apporter à la proposition de règlement pour satisfaire à ces exigences.

I. UNE PROPOSITION DE RÈGLEMENT QUI DOIT BÉNÉFICIER PRIORITAIREMENT AUX PATIENTS

A. UNE PROPOSITION DONT LES BÉNÉFICES ATTENDUS PEUVENT ÊTRE CONSIDÉRABLES

1. Une utilisation primaire des données de santé qui présente un intérêt incontestable pour les patients

a) Dans le cadre national

Le dossier médical électronique (DME) présente de nombreux avantages. Il permet aux professionnels de santé de disposer d'un accès immédiat aux données de santé de leurs patients, facilitant ainsi leur prise en charge, notamment lors d'une première consultation ou en cas d'urgence. Il permet également d'éviter les interactions médicamenteuses et de répéter des examens déjà prescrits, ce qui améliore la qualité des soins.

Lors de son audition, l'EPF (European Patients Forum) a confirmé l'intérêt pour les patients de disposer de leurs données de santé au format électronique afin de pouvoir en assurer la portabilité. Celle-ci est essentielle pour la qualité et la sécurité des soins.

Une étude réalisée en 2022 par une équipe de chercheurs dans un centre hospitalier du Luxembourg^4(*) a montré qu'un espace de santé numérique personnalisé organisé dans un système informatique simple et pleinement intégré dans les processus de travail des professionnels de santé constitue un atout pour des soins de qualité.

b) Dans le cadre de soins transfrontières

La proposition de règlement va particulièrement faciliter les soins transfrontières en permettant aux professionnels de santé d'accéder aux données de santé dans un format électronique reconnu et accepté dans toute l'Union.

Selon la Cour des comptes européenne, environ 200 000 personnes par an^5(*) bénéficient de soins transfrontières dans le cadre institué par la directive 2011/24/UE^6(*).

À cela s'ajoutent les personnes qui décident de s'installer dans un autre État membre pour y étudier ou exercer une activité professionnelle et qui bénéficieront du droit à la portabilité de leurs données de santé. Par exemple, en 2017-2018, plus de 325 000 étudiants réalisaient une mobilité dans le cadre du programme ERASMUS+ et ce chiffre est en constante augmentation depuis.

Enfin, le partage de ces données de santé sera également utile au fonctionnement des réseaux européens de référence pour les maladies rares^7(*).

L'article 13, paragraphe 1, de la proposition de règlement permet aux États membres qui le souhaitent de fournir, par l'intermédiaire de la plateforme MyHealth@EU^8(*), des services supplémentaires d'échange de données entre États membres facilitant l'accès des personnes physiques à leurs données de santé traduites.

Il paraît essentiel aux rapporteurs de s'assurer que les dossiers médicaux électroniques pourront être traduits lorsqu'ils seront consultés par un professionnel de santé dans un autre État membre que celui dont est originaire le patient. Pour cela, MyHealth@EU devrait intégrer dès à présent un service de traduction financé par l'Union pour faciliter l'accès des professionnels de santé de tout État membre aux DME des patients.

2. Une utilisation secondaire des données de santé au bénéfice de la santé

a) Un avantage précieux pour la recherche médicale...

Lors des auditions menées sur la stratégie pharmaceutique de l'Union européenne, les rapporteurs ont interrogé l'Institut national du cancer (InCA), l'Institut national de la santé et de la recherche médicale (Inserm) et l'Association pour la recherche de thérapeutiques innovantes en cancérologie (ARTIC) sur l'opportunité de développer un espace européen des données de santé.

Pour l'INSERM, le partage des données de santé via un « espace européen » permettrait de générer des données de santé plus nombreuses et de meilleure qualité, de réduire le risque de biais technologique qui se traduit par une surestimation ou une sous-estimation de l'apport des technologies, et de créer de nouvelles possibilités de croisement entre les données de santé et d'autres données. Cela permettrait également de construire des algorithmes d'intelligence artificielle plus performants au service de la recherche, d'améliorer la gestion de pandémies telles que celle de Covid-19 ou l'évaluation des médicaments grâce à des outils d'évaluation en temps réel, ou encore d'étudier des maladies rares en mutualisant les sources de données.

Le futur espace européen des données de santé permettrait à la recherche européenne d'acquérir un impact critique, d'accroître l'avantage concurrentiel de ses industries et d'améliorer sa résilience et sa visibilité au niveau international.

L'ARTIC a particulièrement insisté sur l'importance de la qualité des données saisies, un format harmonisé et interopérable étant la condition indispensable pour permettre l'utilisation des données à des fins de recherche. L'InCA a confirmé ce point de vue en estimant néanmoins que la création de l'espace européen des données de santé prendrait au moins dix ans.

L'EPF a soutenu le principe d'une utilisation des données de santé des patients à des fins de recherche. Elle a mis l'accent sur l'exemple des maladies rares pour lesquelles la mise en commun des données de santé issues de chaque État membre pouvait permettre de composer un ensemble suffisamment significatif pour faciliter la recherche.

b) Qui implique des contreparties pour les patients

(1) Une utilisation en lien avec la santé

Les patients qui acceptent une utilisation secondaire de leurs données de santé le font à titre gratuit pour des finalités en lien avec le domaine de la santé. Ces finalités sont énumérées à l'article 34, paragraphe 1, de la proposition de règlement.

Les rapporteurs estiment nécessaire de rappeler que l'utilisation secondaire des données de santé doit être circonscrite aux finalités présentant un lien suffisant avec la santé publique ou la sécurité sociale. Aux points f^9(*) et g^10(*) de l'article 34, paragraphe 1, de la proposition de règlement, ce lien mériterait d'être précisé.

(2) Un meilleur accès aux médicaments

Les données de santé seront notamment utilisées par les entreprises pharmaceutiques dans le but de développer de nouveaux médicaments et de générer des bénéfices. Dans le cadre de la stratégie pharmaceutique pour l'Europe, il serait alors opportun de réfléchir à conditionner l'accès de ces entreprises aux données de santé à leur contribution à l'amélioration de l'accès aux médicaments innovants.

Ainsi, les rapporteurs souhaitent qu'une réflexion soit engagée pour conditionner l'accès des entreprises pharmaceutiques aux données de santé, à des fins d'utilisation secondaire, à leur engagement renforcé en faveur des objectifs de la stratégie pharmaceutique, notamment parer aux besoins médicaux non satisfaits et assurer l'accessibilité et le caractère abordable des médicaments.

(3) Un système de redevances à établir

L'article 42 de la proposition de règlement prévoit que les organismes responsables de l'accès aux données et les détenteurs de données pourront percevoir respectivement des redevances et une compensation pour la mise à disposition de données de santé électroniques à des fins d'utilisation secondaire.

Ce système de redevances vise à couvrir les coûts de mise à disposition des données tant pour les organismes responsables de l'accès aux données que pour les détenteurs de données. Cela englobe les coûts d'instruction des demandes d'accès et les coûts de transfert des données.

Sur ce sujet, les rapporteurs recommandent la création d'un système de redevances permettant de moduler le montant de celles-ci selon que la finalité du traitement a pour objectif de générer un bénéfice commercial ou non.

3. Un investissement important aux externalités positives

a) Des investissements importants ...

(1) Pour les États membres et l'Union européenne

Le développement d'un espace européen des données de santé implique de rendre interopérables les différentes bases de données des États membres. Cela nécessitera des investissements importants pour, d'une part, numériser les soins de santé, et d'autre part, mettre en place des infrastructures interopérables garantissant la sécurité des données.

La Commission prévoit une contribution du budget de l'Union pour un montant de 810 millions d'euros. 480 millions d'euros seront financés via le programme pour une Europe numérique, le mécanisme pour l'interconnexion en Europe et le programme Horizon Europe. Plus de 330 millions ont déjà été affectés : 280 millions du programme EU4Health et 50 millions du programme Europe numérique.

En outre, les États membres ont affecté 12 milliards d'euros au titre de la facilité pour la reprise et la résilience à des investissements pour la santé, y compris la santé numérique et l'utilisation secondaire des données de santé.

La Commission indique enfin que le FEDER et Invest EU pourront apporter un complément financier.

(2) Pour les professionnels de santé

Le développement d'un espace européen des données de santé représentera un investissement important pour les professionnels de santé.

Renseigner les bases de données nécessite tout d'abord le développement des compétences des professionnels de santé qui devront se former à l'utilisation des DME. Des formations devront éventuellement être organisées pour cela. En parallèle, l'Union européenne est confrontée à un manque de professionnels de santé. Il ne faudrait pas que ceux-ci soient contraints de diminuer le temps passé auprès des patients pour renseigner les bases de données. En outre, il sera nécessaire d'aider les professionnels de santé à s'équiper d'outils permettant de garantir la sécurité des données dont ils disposent.

En conséquence, les rapporteurs estiment indispensable de soutenir financièrement les professionnels de santé pour leur permettre de renseigner au mieux les bases de données et de garantir la sécurité de celles-ci. Ils appellent donc la Commission à augmenter le budget que l'Union entend consacrer à la création de l'espace européen des données de santé.

b) Qui contribueront à réduire les coûts et à accroître l'efficacité du système de santé

Selon l'étude d'impact présentée par la Commission européenne sur la proposition de règlement^11(*), le dossier médical électronique évitera aux professionnels de santé de prescrire des tests qui ont déjà été effectués et de saisir encore les résultats de ces tests. Le gain de temps peut être déterminant pour le patient et des économies substantielles pourraient être réalisées, tant par les services de santé que par les patients.

Ces économies s'élèveraient respectivement à 4,6 milliards d'euros et 4,3 milliards d'euros.

B. UNE PROPOSITION DE RÈGLEMENT QUI DOIT RESPECTER LES COMPÉTENCES DES ÉTATS MEMBRES DANS LE DOMAINE DE LA SANTÉ

1. Un objectif d'harmonisation du format d'enregistrement et d'échange des données de santé

La proposition de règlement vise à établir des normes communes pour pouvoir disposer de bases de données harmonisées et d'un environnement informatique de traitement répondant aux mêmes spécificités. L'échange de données devra obligatoirement se faire via les plateformes de partage de l'Union que sont MyHealth@EU et HealthData@EU^12(*).

C'est pourquoi la proposition de règlement a pour base juridique les articles 16 et 114 du traité sur le fonctionnement de l'Union européenne (TFUE).

L'article 16 du TFUE prévoit que, d'une part, toute personne a droit à la protection des données à caractère personnel la concernant, et d'autre part, que le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel - par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union -, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d'autorités indépendantes. Du point de vue de la protection des données à caractère personnel, la proposition de règlement vise à permettre la mise en oeuvre effective de droits inscrits dans le RGPD, en matière d'accès des individus à leurs données et de transmission de celles-ci, notamment à des fins de recherche.

La Commission européenne est donc fondée à faire des propositions pour garantir l'interopérabilité et la sécurité des données de santé à caractère personnel lorsque celles-ci font l'objet d'un échange ou d'un traitement transfrontière.

L'article 114 du TFUE prévoit, quant à lui, que le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire et après consultation du Comité économique et social, arrêtent les mesures relatives au rapprochement des dispositions législatives, réglementaires et administratives des États membres qui ont pour objet l'établissement et le fonctionnement du marché intérieur.

C'est sur la base de cet article que la Commission propose d'harmoniser les spécificités des systèmes de DME afin de s'assurer qu'ils répondent aux mêmes normes pour l'enregistrement et l'échange de données.

2. L'absence de base juridique se référant à la santé

Les rapporteurs relèvent que cette proposition de règlement n'a pas pour base juridique l'article 168 du TFUE, paragraphe 5 ou 7, relatif à la santé. En effet, l'article 168 du TFUE, paragraphe 5, exclut toute mesure d'harmonisation. Or, c'est précisément l'objet de la proposition de règlement comme expliqué précédemment. L'article 168 du TFUE, paragraphe 7, prévoit quant à lui que l'action de l'Union est menée dans le respect des responsabilités des États membres en ce qui concerne la définition de leur politique de santé, ainsi que l'organisation et la fourniture de services de santé et de soins médicaux. Il constitue donc une limite à cette proposition de règlement laquelle ne saurait donc pas aller légitimement jusqu'à organiser, par exemple, la fourniture de services de télémédecine.

De fait, l'article 14 de la proposition de règlement rappelle bien que les États membres pourront maintenir ou définir des règles spécifiques pour l'acquisition, le remboursement ou le financement de systèmes de DME dans le cadre de l'organisation, de la fourniture et du financement de services de soins de santé.

En revanche, les rapporteurs estiment que l'article 8 de la proposition de règlement, qui tend à définir les conditions dans lesquelles un État membre accepte la prestation de services de télémédecine transfrontière, empiète sur les compétences des États membres. Les rapporteurs demandent à ce titre sa suppression.

II. LA NÉCESSITÉ DE GARANTIR LES DROITS PRÉVUS PAR LE RGPD

Les données de santé à caractère personnel sont soumises au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit règlement général sur la protection des données, ou RGPD.

Le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union^13(*) prévoit des dispositions particulières pour ce qui est des données de santé à caractère personnel dans le but de garantir les droits des personnes physiques concernées.

Ces deux textes disposent que le traitement des données de santé à caractère personnel est interdit et précisent les conditions dans lesquelles il peut être dérogé à cette interdiction, respectivement à l'article 9 du RGPD et à l'article 10 du règlement (UE) 2018/1725.

A. UNE DÉFINITION DES DONNÉES DE SANTÉ QUI DOIT ÊTRE CONFORME AU RGPD

1. Pour les données à caractère personnel

La proposition de règlement définit les données de santé électroniques à caractère personnel comme « les données concernant la santé et les données génétiques telles que définies par le règlement RGPD, ainsi que les données se rapportant aux déterminants de la santé, ou les données traitées dans le cadre de la prestation de services de soins de santé, qui existent sous forme électronique ». La Commission justifie cette définition en expliquant que les données comprenant les déterminants sociaux, environnementaux et comportementaux seraient particulièrement pertinentes à des fins de recherche notamment.

Néanmoins, il apparaît aux rapporteurs que cela engendrerait une insécurité juridique dans la mesure où le champ ainsi établi ne cadre pas avec les définitions figurant dans le RGPD qui prévoit des dispositions particulières pour les données de santé et les données génétiques.

Ils estiment préférable que les données à caractère personnel qui feront l'objet d'un traitement dans le cadre de cette proposition de règlement soient soumises à la même protection que celle garantie par le RGPD. Les rapporteurs proposent donc de retenir la définition du RGPD dans la proposition de règlement.

2. Pour les données à caractère non personnel

Le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont rendu un avis conjoint sur la proposition de règlement^14(*), le 12 juillet 2022. Dans cet avis, ils rappellent que la distinction entre données à caractère personnel et données à caractère non personnel est parfois difficile à faire en pratique. Dans la proposition de règlement, ces dernières sont définies comme les données concernant la santé et les données génétiques qui ne répondent pas à la définition des données à caractère personnel énoncée dans le RGPD.

Dès lors, les rapporteurs estiment que la définition des données de santé à caractère non personnel doit être précisée et que, lorsque celles-ci sont indissociables des données de santé à caractère personnel, les dispositions du RGPD visant ces dernières doivent s'appliquer à l'ensemble.

B. LE PRINCIPE DE MINIMISATION DES DONNÉES

1. Un principe à mettre en oeuvre dans la proposition de règlement

Le principe de minimisation des données, prévu par le RGPD, est repris à l'article 4 de la proposition de règlement, pour le traitement à des fins d'utilisation primaire des données de santé et à l'article 44, pour le traitement à des fins d'utilisation secondaire. Selon ce principe, l'accès n'est accordé qu'aux seules données pertinentes pour la finalité du traitement.

Pour les rapporteurs, il importe que ce principe soit pleinement respecté, tant par les professionnels de santé que par les organismes responsables de l'accès aux données.

2. Des données anonymisées ou pseudonymisées

Dans le cadre d'un traitement à des fins d'utilisation secondaire, il est prévu que les organismes responsables de l'accès aux données de santé donnent accès aux données de santé électroniques dans un format anonymisé. La proposition de règlement relatif à l'espace européen des données de santé et le RGPD ne définissent pas la notion de données anonymisées. Le considérant 49 de la proposition de règlement précise toutefois qu'il s'agit de données dépourvues de tout caractère personnel, défini par le RGPD comme toute information se rapportant à une personne physique identifiée ou identifiable.

L'article 44 de la proposition de règlement prévoit également que lorsque la finalité du traitement ne peut être atteinte à l'aide de données anonymisées, les organismes responsables de l'accès aux données de santé donnent accès aux données de santé électroniques dans un format pseudonymisé.

Le RGPD précise que la « pseudonymisation » est le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles garantissant que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

Le considérant 64 de la proposition de règlement indique que, même en cas d'utilisation de techniques d'anonymisation de pointe, il subsiste un risque résiduel que la capacité de réidentification soit ou devienne disponible, au-delà des moyens raisonnablement susceptibles d'être utilisés. C'est le cas notamment pour les maladies rares.

Dès lors, les rapporteurs appellent à ce que la fourniture de données pseudonymisées reste l'exception. Ils invitent à prendre toutes les mesures nécessaires pour s'assurer que les utilisateurs ne puissent pas réidentifier les personnes, que les données aient été fournies dans un format anonymisé ou pseudonymisé. Enfin, en cas de tentative de réidentification, ils préconisent que l'utilisateur de données de santé auteur de cette tentative, soit interdit d'accès à de telles données pour une période de cinq ans, ce qui est la sanction maximale prévue par la proposition de règlement.

C. LE CONSENTEMENT DES PERSONNES CONCERNÉES

1. Les règles spécifiques prévues par le RGPD pour les données de santé

L'article 9 du RGPD dispose que le traitement concernant les données de santé est interdit sauf si l'une des conditions qu'il énumère est remplie. Ainsi, le traitement des données de santé est autorisé avec le consentement de la personne concernée pour une finalité donnée. Il est également autorisé lorsqu'il est prévu par le droit de l'Union ou des États membres :

- aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale (paragraphe 2, point b) ;

- aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale (paragraphe 2, point j) ;

- pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux (paragraphe 2, point i) ;

- à des fins de recherche scientifique (paragraphe 2, point h).

Lorsque le traitement des données de santé est autorisé en droit, il ne peut encore être opéré que s'il est licite. L'article 6 du RGPD prévoit les conditions selon lesquelles un traitement de données est considéré comme tel. C'est le cas notamment lorsque la personne a consenti au traitement de ses données (paragraphe 1, point a), lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie (paragraphe 1, point b) ou au respect d'une obligation légale (paragraphe 1, point c). C'est le cas également lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public (paragraphe 1, point e) ou aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (paragraphe 1, point f).

Selon le RGPD, le traitement de données de santé doit donc être à la fois autorisé et licite pour pouvoir être opéré. S'il peut être autorisé sur la base du consentement, il peut également être autorisé sur la base d'une obligation légale qui n'implique pas le consentement et ayant pour objectif une des finalités mentionnées à l'article 9.

2. Le recueil du consentement laissé à la discrétion des États membres pour le traitement des données de santé à des fins d'utilisation primaire

Aux yeux des rapporteurs, il est nécessaire de définir sur la base de quelles dispositions du RGPD sera effectué le traitement à des fins d'utilisation primaire des données de santé.

La mise à disposition de systèmes de DME relève de la compétence des États membres. L'objectif de la proposition de règlement est d'organiser l'interopérabilité des données de santé et leur circulation lorsque les États membres ont décidé que celles-ci seraient désormais traitées dans un format électronique. Il paraît donc cohérent de laisser aux États membres le soin de décider dans quelle mesure le consentement des personnes physiques concernées est nécessaire.

Jusqu'en 2021, la proposition offerte par le gouvernement français aux assurés de créer un dossier médical partagé a rencontré peu de succès puisqu'entre 2018 et 2021, seuls 10 millions de dossiers ont été ouverts. Depuis 2022, l'espace de santé numérique personnalisé est systématiquement ouvert pour chaque assuré qui dispose alors d'un délai d'opposition de 6 semaines après la réception du courrier ou du courriel l'informant de ses droits. Ce changement de méthode doit permettre d'augmenter le nombre de personnes dotées d'un dossier médical électronique.

3. Le recueil du consentement comme règle européenne dans le cadre d'une utilisation secondaire des données de santé

Conformément à l'article 6, paragraphe 1, point c, du RGPD, la Commission souhaite qu'une fois adoptée, la proposition de règlement puisse servir de base légale pour assurer la licéité du traitement des données de santé aux fins d'utilisation secondaire mentionnées aux points g, h, i et j de l'article 9 du RGPD.

Ainsi, l'article 33, paragraphe 5, de la proposition de règlement prévoit que, lorsque le consentement de la personne physique est requis par le droit national pour l'utilisation secondaire des données de santé, les organismes responsables de l'accès aux données de santé se trouvent habilités par ladite proposition de règlement à y donner accès. Dans la proposition de la Commission, la licéité du traitement ne repose donc pas sur le consentement des personnes concernées.

Au contraire, les rapporteurs estiment qu'il est nécessaire de prévoir le consentement des personnes concernées. Celui-ci serait réputé acquis dès lors que les patients, après avoir été dûment informés, n'ont pas manifesté d'opposition au traitement de leurs données à des fins d'utilisation secondaire. Ainsi, le traitement sera autorisé sur la base de l'article 9, paragraphe 2, points i et j, du RGPD et sera considéré comme licite sur la base de l'article 6, paragraphe 1, point a, du RGPD.

D. UNE MISE EN oeUVRE DU RGPD À GARANTIR PRÉCISÉMENT

1. Permettre aux personnes physiques d'accéder à leurs données de santé, de les contrôler et de les transmettre dans le cadre d'une utilisation primaire

Le RGPD prévoit des droits pour les personnes dont les données à caractère personnel font l'objet d'un traitement. La proposition de règlement tend à conforter ces droits voire à les renforcer. C'est le cas du droit d'accès puisque la proposition de règlement prévoit un droit d'accès immédiat, gratuit et dans un format facilement lisible et consolidé aux données de santé électroniques à caractère personnel, alors qu'au titre du RGPD, cet accès n'est pas nécessairement immédiat et gratuit. Il en va de même pour le droit à la portabilité des données qui permettra la transmission des données de santé électroniques, quelle que soit la base juridique de leur traitement, alors que la garantie de ce droit à la portabilité prévue par le RGPD est fonction de la base juridique du traitement.

La proposition de règlement prévoit également le droit de demander aux professionnels de santé la rectification des données en ligne, sans toutefois prévoir les suites qui pourraient être données à cette demande.

Pour les rapporteurs, il est nécessaire de préciser que les professionnels de santé seront tenus d'apporter une réponse argumentée aux demandes de rectification formulées par les patients lorsqu'ils refusent ces demandes.

2. Des droits mis en balance avec l'efficacité du dispositif dans le cadre de l'utilisation secondaire des données

a) L'utilisation secondaire qui doit être considérée comme un usage ultérieur

Le RGPD ne distingue pas entre le traitement de données à des fins d'utilisation primaire ou à des fins d'utilisation secondaire. Il définit le traitement de données comme « toute opération ou tout ensemble des opérations effectuées ou non à l'aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, tels que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de données ». En outre, le RGPD envisage le traitement autre que celui pour lequel les données ont été collectées comme un traitement ultérieur ou une utilisation ultérieure sans plus de définition.

Pour les rapporteurs, il apparaît utile de préciser que le traitement à des fins d'utilisation secondaire des données de santé est assimilé à un traitement ultérieur au sens du RGPD.

b) Les finalités du traitement à des fins d'utilisation secondaire limitées

L'article 34 de la proposition de règlement énumère les finalités pour lesquelles des données de santé électroniques peuvent être traitées à des fins d'utilisation secondaire. Il s'agit notamment des activités présentant un intérêt public dans le domaine de la santé publique et de la santé au travail, des activités liées à la production de statistiques et à la recherche scientifique, des activités d'enseignement en lien avec la santé et des activités relatives à la fourniture de soins de santé personnalisés. L'article 35 précise, quant à lui, les utilisations secondaires interdites telles que la prise de décision préjudiciable à une personne physique ou les activités de publicité ou de marketing.

Les rapporteurs estiment que ces deux articles peuvent être source de confusion dans la mesure où l'on ne saurait pas dans quelle catégorie classer des finalités qui ne seraient pas énumérées dans l'un de ces deux articles. Dès lors, ils proposent de préciser que les finalités qui ne figurent pas à l'article 34 de la proposition de règlement sont interdites et de supprimer l'article 35.

c) Un droit d'information qui doit être maintenu

L'article 38, paragraphe 2, de la proposition de règlement prévoit que les organismes responsables de l'accès aux données de santé ne sont pas tenus de fournir à chaque personne physique les informations spécifiques prévues à l'article 14 du RGPD en cas d'utilisation de ses données pour des projets de traitement soumis à autorisation. Certes, le paragraphe 5 de l'article 14 du RGPD prévoit qu'il peut être dérogé à cette règle lorsque la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés. Néanmoins, le Comité européen de la protection des données et le Contrôleur européen de la protection des données recommandent que cette exemption ne puisse être mise en oeuvre que lorsqu'une justification adéquate est fournie.

Les rapporteurs, quant à eux, demandent que l'obligation d'information prévue à l'article 14 du RGPD s'applique sans exception dans le cas du traitement des données de santé à des fins d'utilisation secondaire, de manière à garantir aux personnes concernées la fourniture d'une information individualisée sur l'utilisation de leurs données dans ce cadre.

III. DES CONDITIONS RESTRICTIVES POUR L'ACCÈS AUX DONNÉES

La Commission européenne a présenté le 23 février 2022 la proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données (Data Act). Cette législation horizontale, toujours en discussion, a pour objectif de mettre en place et de développer un espace européen des données. Il s'agit de faciliter la circulation des données au sein du marché unique dans le plein respect des règles et des valeurs européennes, en particulier la protection des données à caractère personnel. Ce texte prévoit également que la Commission pourra proposer des règles spécifiques pour certains types de données. C'est le cas, via la présente proposition de règlement, pour les données de santé.

En parallèle, le règlement (UE) n° 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données (règlement sur la gouvernance des données) établit les conditions de réutilisation, au sein de l'Union, de certaines catégories de données détenues par des organismes du secteur public, notamment les données de santé considérées comme sensibles et pour lesquelles des dispositions spécifiques pourront être prévues par le droit de l'Union. Ce règlement indique, dans son deuxième considérant, que les espaces européens communs de données devraient rendre les données traçables, accessibles, interopérables et réutilisables (principes FAIR pour les données), tout en garantissant un niveau élevé de cybersécurité.

A. LE CHOIX DES DONNÉES TRAITÉES : UN ÉQUILIBRE ENTRE COÛT ET QUALITÉ

1. Dans le cadre d'une utilisation primaire

L'article 5 de la proposition de règlement précise les catégories prioritaires de données de santé électroniques à caractère personnel qui devront faire l'objet d'un traitement en vue d'une utilisation primaire.

Il s'agit des dossiers des patients, des prescriptions électroniques, des dispensations électroniques, des images médicales et des comptes rendus associés, des résultats de laboratoire et des lettres de sortie d'hospitalisation.

Plus cette liste sera longue et plus les données y figurant seront volumineuses, plus le coût de la création d'un espace européen des données de santé sera élevé. Toutefois, sur la recommandation de l'EPF, il est proposé d'inclure les résultats des tests médicaux tels que les électrocardiogrammes et les tests de souffle effectués dans un cadre médical, qui ne sont pas des données trop volumineuses (contrairement par exemple aux examens d'imagerie) mais sont de grande importance pour appréhender l'état de santé du patient.

2. Dans le cadre d'une utilisation secondaire

L'article 33, paragraphe 1, de la proposition de règlement fixe les catégories minimales de données de santé électroniques qui seront destinées à une utilisation secondaire. Cette liste appelle plusieurs remarques.

Tout d'abord, elle comprend les données générées grâce aux applications de bien-être aux points f et n. Or, comme les rapporteurs l'ont noté lors de l'audition du Contrôleur européen de la protection des données, de sérieux doutes peuvent être émis quant à la qualité de ces données. Il est donc proposé de les supprimer de la liste établie à l'article 33 de la proposition de règlement.

En outre, les rapporteurs demandent que les données de santé électroniques provenant d'essais cliniques mentionnés au point j ne soient fournies qu'une fois les essais de phase III terminés et qu'à condition d'être protégées. Un détenteur de données pourra refuser de communiquer les données provenant d'essais cliniques s'il démontre que cela peut remettre en cause le secret des affaires et la confidentialité des droits de propriété intellectuelle.

Par ailleurs, les rapporteurs estiment que les organismes de sécurité sociale, au vu de la quantité de données dont ils disposent, devraient être considérés comme des détenteurs de données au sens de la proposition de règlement.

B. UN ACCÈS CONTRÔLÉ AUX DONNÉES

1. L'accès aux données pour les professionnels de santé dans le cadre de l'utilisation primaire

a) Un accès contrôlé

L'article 4 de la proposition de règlement prévoit que les professionnels de santé ont accès aux données de santé électroniques de leurs patients quels que soient l'État membre d'affiliation et l'État membre de traitement. Pour définir un professionnel de santé, la proposition de règlement renvoie à la directive 2011/24/UE du Parlement européen et du Conseil relative à l'application des droits des patients en matière de soins de santé transfrontaliers qui en propose une définition élargie.

Dès lors, les rapporteurs estiment que l'accès à des données doit être conditionné au besoin du professionnel de santé de connaître ces données pour établir son diagnostic ou proposer un traitement.

En outre, la proposition de règlement prévoit que les patients devront être informés lorsqu'un professionnel de santé accède à leurs données. Cette information précise l'identité du professionnel de santé ou, à défaut, de l'établissement de soins. Il appartiendra aux États membres d'organiser les conditions de cette information qui sera systématique.

Enfin, la proposition de règlement prévoit la possibilité pour le patient de restreindre l'accès de certains professionnels de santé à certaines données. Cette restriction pourrait être levée lorsque le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique. L'article 4, paragraphe 4, de la proposition de règlement prévoit néanmoins que les professionnels de santé sont informés de l'existence et de la nature des données pour lesquelles l'accès a été limité.

Les rapporteurs souscrivent à cette proposition et précisent que le dossier médical partagé n'a pas vocation à remplacer la communication entre un professionnel de santé et son patient dans le cadre d'une consultation.

b) MyHealth@EU : une plateforme d'échange, pas une base de données

MyHealth@EU est une plateforme d'échange à laquelle dix États membres sont déjà reliés dont la France, mais qui n'est pas destinée à devenir une gigantesque base de données de santé des citoyens européens : elle doit permettre à un professionnel de santé situé dans un État membre de se faire transférer automatiquement les données de santé de son patient qui ont été collectées dans un autre État membre. Cette distinction est particulièrement importante dans la mesure où elle peut inciter davantage de patients et de professionnels de santé à recourir au traitement de données de santé électroniques.

2. Un accès aux données encadré dans le cadre d'une utilisation secondaire

a) Le rôle de l'organisme responsable de l'accès aux données

L'article 36 de la proposition de règlement prévoit que les États membres devront désigner un organisme chargé d'accorder l'accès aux données de santé électroniques à des fins d'utilisation secondaire et d'autoriser leur traitement. Les organismes détenteurs de données sont tenus de coopérer de bonne foi avec ces organismes responsables de l'accès aux données de santé et de mettre à disposition les données dont ils disposent.

Ces organismes étudieront les demandes d'accès aux données présentées selon les dispositions prévues à l'article 45 de la proposition de règlement. Ils veilleront à ce que l'accès soit accordé uniquement aux données de santé demandées pertinentes pour la finalité du traitement dont il est fait mention dans la demande.

Sur ce sujet, les rapporteurs relèvent trois points d'attention.

Tout d'abord, l'article 46 de la proposition de règlement prévoit que l'organisme responsable de l'accès aux données de santé délivre ou refuse l'autorisation d'accès aux données dans un délai de deux à quatre mois, à compter de la réception de la demande d'accès aux données. Passé ce délai, l'autorisation est réputée délivrée.

Les rapporteurs comprennent bien la nécessité pour les utilisateurs de disposer de l'autorisation d'accès rapidement, néanmoins ils estiment que toute demande d'accès doit faire l'objet d'une autorisation expresse. Dans le cas où l'autorisation ne serait pas délivrée dans le délai imparti, l'organisme responsable de l'accès aux données devra justifier ce retard. Les organismes responsables de l'accès aux données devront être dotés de moyens suffisants pour éviter cette situation.

En outre, l'article 48 de la proposition de règlement prévoit que l'organisme responsable de l'accès aux données met les données à disposition des organismes du secteur public et des institutions, organes et organismes de l'Union sans que ceux-ci n'aient à formuler de demande d'autorisation de traitement. De même, l'article 49 prévoit que, pour l'accès aux données de santé électroniques détenues par un détenteur unique, la demande d'accès aux données pourrait être formulée directement auprès de ce détenteur qui devra l'examiner selon les mêmes critères qu'un organisme responsable d'accès aux données.

Si les rapporteurs peuvent comprendre la nécessité pour certaines institutions telles que l'EMA ou l'ECDC de bénéficier rapidement de certaines données, l'examen de la demande d'autorisation par l'organisme responsable de l'accès aux données leur paraît néanmoins nécessaire, tant pour les organismes du secteur public et les institutions, organes et organismes de l'Union que dans le cas d'un détenteur de données unique. Ils proposent donc de supprimer l'article 49 et de prévoir à l'article 48 des conditions d'accès particulières pour des organismes du secteur public et des institutions, organes et organismes de l'Union, notamment en cas d'urgence de santé publique telle que définie au règlement (UE) 2022/2371.

b) Des environnements de traitement sécurisé

L'article 50 de la proposition de règlement prévoit que l'accès aux données de santé se fait dans un environnement de traitement sécurisé. Ceci doit permettre de restreindre aux seules personnes autorisées l'accès à ces données et de veiller à ce que les utilisateurs n'aient accès qu'aux données de santé électroniques couvertes par leur autorisation de traitement.

Chaque organisme responsable de l'accès aux données d'un État membre ne met à disposition que les données pour lesquelles le détenteur relève de sa compétence.

Lorsqu'un utilisateur veut avoir accès à des données relevant de la compétence de plusieurs États membres, il effectue une demande auprès de l'organisme responsable de l'accès aux données de chaque État membre. Ces données seront ensuite mises à disposition dans un environnement de traitement sécurisé par la Commission européenne.

Les rapporteurs estiment que cette mesure permet effectivement de renforcer la sécurité des données.

c) HealthData@EU : un catalogue plus qu'une base de données

HealthData@EU, dont la création est prévue à l'article 52 de la proposition de règlement, est une infrastructure transfrontière pour le traitement des données de santé électroniques à des fins d'utilisation secondaire. Chaque État membre désigne un point de contact national pour l'utilisation secondaire des données de santé qui deviendra un participant autorisé à cette infrastructure. Il peut s'agir de l'organisme responsable de l'accès aux données.

Cette infrastructure permettra de faciliter les relations entre les organismes responsables de l'accès aux données de santé qui disposeront ainsi d'une description générale des données dont l'organisme d'accès aux données d'un autre État membre peut disposer. Les détenteurs de données informent l'organisme responsable de l'accès des données dont ils dépendent de la nature de ces données.

HealthData@EU n'est donc pas une immense base de données regroupant les données de santé des patients européens mais plutôt un catalogue de données dont les participants autorisés pourront prendre connaissance. Ce catalogue contient des informations détaillées sur la source et la nature des données de santé électroniques qui pourraient être mises à disposition à la suite d'une demande d'accès.

C. LA SÉCURTIÉ DES DONNÉES EN QUESTION

1. Des risques réels

a) L'interopérabilité des applications de bien-être avec les systèmes de DME

L'article 31 de la proposition de règlement prévoit que les applications de bien-être peuvent être conformes aux systèmes de DME en matière d'interopérabilité et de sécurité.

Le recours aux objets connectés et équipés de telles applications pour mesurer par exemple le nombre de pas effectués dans une journée ou le rythme cardiaque est de plus en plus fréquent.

Les données issues de ces objets connectés pourront être intégrées dans le dossier médical électronique par les patients bien que, selon la CNIL, il ne s'agisse pas de données de santé. Certes, elles ne permettent pas directement de déterminer l'état de santé de la personne mais, croisées avec d'autres données, elles peuvent devenir particulièrement probantes. Dès lors, il est difficile de demander aux patients et aux professionnels de santé de ne pas les utiliser.

Néanmoins, l'interopérabilité des systèmes de DME avec les applications de bien-être présente un risque pour les utilisateurs. En France, la société d'assurance Generali propose dès à présent un contrat dénommé Vitality qui permet aux assurés qui prennent soin de leur santé, selon l'analyse faite par des objets connectés offerts par Generali, de bénéficier de réductions auprès de marques partenaires. Si aujourd'hui il n'est pas possible en France d'offrir directement une réduction de la cotisation, ce type d'offre existe déjà en Allemagne. On imagine aisément les dérives d'un tel système s'il était mis en place sans le consentement des personnes concernées.

Pour rappel, les rapporteurs préconisent d'exclure les données issues des applications de bien-être du traitement secondaire des données de santé.

b) Le vol de données

Les cybercriminels ont un intérêt particulier pour les données de santé qu'ils savent pouvoir revendre sur le Dark Web à des prix intéressants.

Ceux-ci peuvent également exiger des rançons pour éviter la diffusion des données. Les hôpitaux de Corbeil-Essonnes et de Versailles ont ainsi été la cible de cyberattaques respectivement en août et décembre 2022.

En France, l'Autorité nationale en matière de sécurité et de défense des systèmes d'information (Anssi) évalue la fréquence d'un incident grave dans les établissements de santé français à plus d'un par semaine^15(*). Toutefois, il s'agit là d'un phénomène mondial.

c) Les finalités de traitement détournées

Les données de santé peuvent être utilisées à d'autres fins que celles prévues lors de leur collecte, avec le risque que cela nuise aux personnes concernées.

Ainsi, en France, la société IQVIA a été autorisée par la CNIL à collecter au sein des pharmacies des données de santé à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé. Ce traitement devait reposer sur le consentement des personnes, les pharmaciens étant chargés contractuellement de recueillir ce consentement. En contrepartie, IQVIA s'engageait à leur fournir certains services. Une enquête du magazine Cash Investigation en 2021 a révélé que, dans la plupart des cas, les clients des pharmacies n'étaient pas informés et que les données collectées ont été utilisées pour améliorer la promotion de produits de santé, ce qui n'était pas l'objectif affiché par IQVIA.

2. La nécessaire certification des systèmes de DME par un organisme tiers

La proposition de règlement vise à établir un marché unique des systèmes de DME.

Les fabricants, importateurs et distributeurs de systèmes de DME devront veiller à ce que ceux-ci soient conformes aux spécifications que la Commission devra déterminer par un acte d'exécution, conformément à l'article 23 et à l'annexe II de la proposition de règlement. Ces systèmes devront garantir l'interopérabilité et la sécurité des données. Un système de DME ne respectant pas les spécifications prévues ne pourra pas être mis sur le marché. Les fabricants, importateurs et distributeurs seront en charge de la certification des systèmes de DME qui indiquera qu'ils respectent les spécifications prévues. Les États membres désigneront une autorité nationale chargée de la surveillance du marché des systèmes de DME.

La proposition de règlement prévoit également la création d'une base de données européenne où seront enregistrés les systèmes de DME certifiés.

Les rapporteurs estiment que ce système d'auto certification des systèmes de DME n'est pas suffisant pour garantir la sécurité des données. Ils préconisent la mise en place d'un système de certification par un tiers, à savoir un organisme notifié et enregistré au niveau de l'Union européenne.

3. L'hébergement souverain des données de santé

Dans sa résolution européenne n° 140 (2022-2023) sur la proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données, le Sénat préconise l'hébergement souverain sur le territoire de l'Union des données de santé afin de les protéger contre l'application extraterritoriale de législations non-européennes. Il souligne en outre que le caractère souverain exige que le service soit fourni par une entreprise européenne dans laquelle les participations étrangères cumulées directes ou indirectes ne sont pas majoritaires.

Les rapporteurs souscrivent à ces préconisations.

En parallèle, l'entrée en vigueur de la directive SRI 2^16(*) récemment adoptée devrait permettre d'élever le niveau commun de sécurité en renforçant les outils de surveillance, les capacités des États membres et la coopération en la matière.

4. Le transfert de données à caractère personnel vers des États tiers

L'article 45 du RGPD prévoit que la Commission, après avoir évalué le caractère adéquat du niveau de protection des données dans un État tiers, peut autoriser le transfert de données à caractère personnel vers celui-ci par le biais d'un acte d'exécution. Celui-ci est pris dans le cadre d'une procédure d'examen où un comité composé de représentants des États membres a un rôle décisionnel.

La Commission européenne a déjà adopté à deux reprises un acte d'exécution autorisant un tel transfert vers les États-Unis, le Safe Harbor en 2015 et le Privacy Shield en 2020, tous deux successivement invalidés par la Cour de justice de l'Union européenne (CJUE) qui a jugé que le niveau de protection des données aux États-Unis n'était pas suffisant pour équivaloir à celui garanti par le RGPD en Europe.

Un nouveau projet d'acte d'exécution est actuellement en discussion. Cette proposition de règlement d'exécution prévoit que les données de santé à caractère personnel transférées vers les États-Unis sont considérées comme sensibles et ne peuvent être utilisées pour un motif autre que celui pour lequel elles ont été collectées sans l'accord exprès et explicite de la personne physique concernée. Cette disposition ne s'applique pas dans le cas où il s'agit de protéger les intérêts vitaux de la personne. Le texte précise également que la législation des États-Unis offre des garanties suffisantes pour éviter que des entreprises puissent prendre des décisions préjudiciables aux personnes physiques sur la base de données de santé traitées de manière illicite. Ce n'est pas l'avis du Comité européen pour la protection des données qui relève de nombreuses inadéquations entre le droit des États-Unis et le droit européen. Selon l'avocat Max Schrems qui a déjà porté devant la CJUE les deux précédents actes d'exécution et qu'a récemment entendu la commission des affaires européennes du Sénat^17(*), ce nouveau projet d'acte d'exécution a encore une fois peu de chances de satisfaire les exigences de la CJUE.

En tout état de cause, une sécurité à l'égard du transfert de données de santé vers les États tiers est apportée par l'article 9, paragraphe 4, du RGPD qui prévoit que les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.

5. Le transfert de données à caractère non personnel

L'article 5, paragraphe 13, du règlement (UE) n° 2022/868 prévoit que la Commission est habilitée à adopter des actes délégués fixant des conditions particulières applicables au transfert vers des États tiers des données de santé à caractère non personnel.

En parallèle, la proposition de règlement précise que les données de santé sont considérées comme hautement sensibles lorsque leur transfert vers des pays tiers, dans le cadre d'un traitement à des fins d'utilisation secondaire, peut présenter un risque de réidentification des personnes physiques concernées.

Pour les rapporteurs, le transfert de données de santé à caractère non personnel vers un État tiers doit faire l'objet du consentement de la personne concernée qui peut être recueilli lorsque la personne consent au traitement de ces données de santé à des fins d'utilisation secondaire, et dans les mêmes conditions.

IV. UN ESPACE EUROPÉEN DES DONNÉES DE SANTÉ DONT LA GOUVERNANCE DOIT ÊTRE COHÉRENTE ET PARTAGÉE

A. UNE GOUVERNANCE FAISANT INTERVENIR PLUSIEURS ENTITÉS À COORDONNER

1. La désignation de plusieurs entités

a) Cinq entités nationales

La proposition de règlement prévoit la désignation d'au moins cinq entités nationales.

Dans le cadre de l'utilisation primaire des données de santé, il est prévu que chaque État membre désigne une autorité de santé numérique responsable de la mise en oeuvre des droits et obligations prévus aux chapitres II et III de la proposition de règlement. Cette autorité aura également pour mission d'assurer, à l'échelon national, la mise en oeuvre du format européen d'échange des dossiers médicaux électroniques et de contribuer au développement de ce format. Chaque État membre désigne également un point de contact national pour la santé numérique afin d'assurer la connexion entre tous les points de contacts nationaux pour la santé numérique et la plateforme centrale pour la santé numérique, MyHealth@EU. Chaque État membre devrait également désigner une ou plusieurs autorités de surveillance du marché des systèmes de DME.

Dans le cadre d'une utilisation secondaire des données de santé, les États membres désignent un ou plusieurs organismes responsables de l'accès aux données de santé chargés d'accorder l'autorisation d'accès aux données de santé électroniques à des fins d'utilisation secondaire. En outre, chaque État membre désigne un point de contact national pour l'utilisation secondaire des données de santé, responsable de la mise à disposition de données de santé à des fins d'utilisation secondaire dans un contexte transfrontière et qui sera le participant autorisé à HealthData@EU pour l'État membre en question.

b) Trois entités européennes

La proposition de règlement prévoit la mise en place d'un comité de l'espace européen des données de santé afin de faciliter la coopération et l'échange d'informations entre les États membres. Ce comité est composé de représentants de haut niveau des autorités de santé numérique des États membres et des organismes responsables de l'accès aux données de santé. La composition, l'organisation et le fonctionnement seront fixés dans le règlement intérieur du comité qui sera proposé par la Commission. Des sous-groupes concernant respectivement l'usage primaire et l'usage secondaire des données de santé pourraient être institués. Ce comité aura pour rôle d'assister les États membres dans la mise en place du futur règlement et devra faciliter l'échange d'informations et la coopération.

Il est également prévu que la Commission établisse deux groupes chargés du contrôle conjoint pour les infrastructures MyHealth@EU et HealthData@EU, composés notamment de représentants des points de contacts nationaux. La composition, l'organisation et le fonctionnement de ces groupes seront fixés dans le règlement intérieur adopté par lesdits groupes. Ces groupes prendront des décisions concernant la mise au point et l'exploitation des infrastructures transfrontières, en ce qui concerne les changements d'infrastructure, l'ajout d'infrastructures ou de services supplémentaires, ou encore la garantie de l'interopérabilité avec d'autres infrastructures.

2. La nécessité d'éviter les conflits de compétence

Potentiellement, ce sont donc au moins cinq entités qui devront être désignées ou créées au niveau national. Il s'agit d'éviter les conflits de compétence entre ces entités mais également avec l'autorité de contrôle instituée en vertu de l'article 51 du RGPD (la CNIL pour la France).

Le Comité européen de la protection des données et le Contrôleur européen de la protection des données suggèrent d'introduire une consultation obligatoire et un devoir de coopération avec les autorités de protection des données en ce qui concerne l'évaluation des réclamations et la mise en oeuvre de la proposition, chaque fois que des aspects liés à la protection des données sont en jeu. En outre, ils soulignent que les autorités chargées de la protection des données sont les seules autorités compétentes pour les questions de protection des données et qu'elles devraient donc rester le seul point de contact pour la personne concernée en ce qui concerne ces questions, y compris dans les cas où ces autorités n'ont pas été consultées.

Pour les rapporteurs, il est nécessaire de bien clarifier les compétences de chaque autorité nouvellement créée et les conditions de leur coopération avec l'autorité de contrôle instituée par le RGPD.

B. ASSOCIER DAVANTAGE LES ÉTATS MEMBRES, LES PATIENTS LES PROFESSIONNELS DE SANTÉ ET LES DÉTENTEURS DE DONNÉES

1. Un recours trop large aux actes délégués et aux actes d'exécution

a) Des actes d'exécution qui doivent être adoptés dans le cadre de la procédure d'examen associant les États membres à la décision

La proposition de règlement prévoit que la Commission adoptera divers actes d'exécution sur la base de l'article 4 du règlement (UE) n° 182/2011^18(*). Il s'agit de la procédure consultative dans le cadre de laquelle le Comité composé de représentants des États membres fournit à la Commission un avis sur les actes d'exécution que celle-ci envisage. Cet avis est purement consultatif. L'article 4 du règlement (UE) n° 182/2011 prévoit toutefois que la Commission tient le plus grand compte des conclusions se dégageant des débats au sein du Comité et de l'avis émis.

La proposition de règlement prévoit 24 actes d'exécution qui devront être adoptés selon cette procédure.

Si certains éléments de la proposition de règlement peuvent être considérés comme techniques et appellent une harmonisation par la Commission justifiant le recours à un acte d'exécution, le choix d'une procédure consultative privant les États membres de leur pouvoir de décision sur des questions qui peuvent notamment affecter la protection des données à caractère personnel ne se justifie pas.

Parmi les actes d'exécution prévus par la proposition de règlement, on peut noter :

- à l'article 12 : les actes déterminant les mesures nécessaires au développement de l'infrastructure MyHealth@EU et les règles détaillées concernant la sécurité, la confidentialité et la protection des données de santé électronique ;

- à l'article 42 : les actes visant à établir les principes et les règles concernant les politiques et les structures liées aux redevances ;

- à l'article 50 : les actes déterminant les exigences techniques, les exigences en matière de sécurité de l'information et les exigences en matière d'interopérabilité applicables aux environnements de traitement sécurisé ;

- à l'article 52 : les actes visant à établir les spécifications relatives à l'infrastructure HeathData@EU et les conditions d'accès à celle-ci ;

- à l'article 55 : les actes visant à déterminer les éléments d'informations que les détenteurs de données doivent fournir concernant les ensembles de données et leurs caractéristiques ;

- à l'article 64 : les actes permettant de définir les mesures nécessaires à l'établissement, à la gestion et au fonctionnement du comité de l'espace européen des données de santé.

Si ces mesures relèvent effectivement d'un acte d'exécution, ceux-ci ne doivent pas être pris sur la base de l'article 4 du règlement (UE) n° 182/2011 mais plutôt sur la base de l'article 5 du même règlement prévoyant une procédure d'examen des actes proposés par la Commission qui associe les États membres à la décision et non pas une procédure simplement consultative.

b) Des dispositions essentielles du texte qui ne doivent pas être définies par des actes délégués

Les actes délégués sont pris sur la base de l'article 290 du TFUE qui permet à la Commission de compléter ou modifier des éléments d'actes législatifs considérés comme non essentiels. Ils entrent en vigueur s'ils n'ont donné lieu à aucune objection du Parlement européen ou du Conseil dans un délai de trois mois à compter de leur notification à ces deux institutions. 12 sont prévus par la proposition de règlement.

Concernant ces actes délégués prévus par la proposition de règlement, on peut noter :

- à l'article 5 : les actes visant à ajouter des catégories prioritaires de données de santé électroniques à caractère personnel destinées à des fins d'utilisation primaire ;

- à l'article 33 : les actes visant à compléter les catégories de données de santé électroniques à caractère personnel destinées à des fins d'utilisation secondaire ;

- à l'article 41 : les actes complétant les obligations des détenteurs de données ;

- l'article 45 : les actes visant à modifier la liste des informations à fournir par les personnes présentant une demande d'accès aux données à des fins d'utilisation secondaire.

Les rapporteurs jugent qu'il s'agit de dispositions essentielles qui devraient à ce titre être prévues par la proposition de règlement et non par un acte délégué.

2. La nécessaire participation des patients, des professionnels de santé et des détenteurs de données à la gouvernance de l'espace européen des données de santé

Pour rappel, la Commission présente cette proposition de règlement comme particulièrement utile au secteur de la santé.

Dès lors, il apparaît nécessaire, aux yeux des rapporteurs, que des représentants des patients et des représentants des professionnels de santé, ainsi que des représentants des détenteurs de données puissent participer à la gouvernance de l'autorité de santé numérique, de l'organisme responsable de l'accès aux données et du comité de l'espace européen des données de santé. Des dispositions devront être prises pour organiser leur désignation en évitant les conflits d'intérêts.

EXAMEN EN COMMISSION

__________

La commission des affaires européennes s'est réunie le mercredi 5 juillet 2023. Le débat suivant s'est engagé :

M. Jean-François Rapin, président. - Mes chers collègues, nous allons maintenant aborder le second point de notre ordre du jour : l'espace européen des données de santé, dont la Commission européenne a, dès 2019, annoncé la création comme l'une des priorités de sa mandature. Dans une communication de mai 2022, elle déclarait que la numérisation est essentielle pour l'avenir des soins de santé, notamment pour soutenir la lutte contre le cancer et assurer la continuité des soins dans l'ensemble de l'Union européenne. Le 3 mai 2022, elle a présenté la proposition de règlement du Parlement européen et du Conseil relatif à l'espace européen des données de santé, COM(2022) 197 final.

Ce texte vise à établir des règles, des infrastructures et un cadre de gouvernance pour l'utilisation des données de santé. Cette proposition de règlement concerne donc à la fois le secteur de la santé et le secteur du numérique. Elle doit ainsi s'articuler avec le règlement général sur la protection des données (RGPD), d'une part, et avec le règlement sur la gouvernance des données et le Data Act sur lequel que notre commission s'est déjà penché, d'autre part.

L'enjeu de ce texte est donc de déterminer un cadre pour le traitement des données de santé au sein de l'Union européenne qui permette de garantir les droits des personnes physiques concernées et la protection de ces données.

Je remercie les rapporteurs Laurence Harribey et Pascale Gruny, que notre commission mobilise beaucoup sur les questions de santé en Europe depuis l'épidémie de Covid, de nous présenter leurs propositions pour satisfaire à ces exigences.

Mme Laurence Harribey, rapporteure. -La Commission européenne a en effet présenté le 3 mai 2022 la proposition de règlement relatif à l'espace européen des données de santé. Ce texte a pour objectif de déterminer dans quelles conditions les données de santé électroniques pourront être traitées, d'une part à des fins d'utilisation primaire, c'est-à-dire dans le but de fournir des services de santé à la personne physique concernée, et d'autre part, à des fins d'utilisation secondaire énumérées à l'article 34 de la proposition de règlement et parmi lesquelles figure la recherche.

Dans le cadre du traitement des données de santé à des fins d'utilisation primaire, la proposition de règlement prévoit la création d'une infrastructure dénommée MyHealth@EU, dont l'objectif est de faciliter l'échange de données de santé d'un patient d'un État membre à l'autre. Ces données figureront dans un dossier médical électronique dont la Commission entend harmoniser les spécificités.

Concernant le traitement à des fins d'utilisation secondaire, les détenteurs de données de santé devront informer les organismes responsables de l'accès aux données désignés dans chaque État membre des données dont ils disposent. Un catalogue de ces données sera disponible sur une infrastructure européenne dénommée HealthData@EU que les utilisateurs potentiels de données pourront consulter. Ils effectueront alors une demande d'accès aux données qui sera examinée par l'organisme responsable de l'accès aux données. Si l'accès est autorisé, celui-ci se fera dans un environnement de traitement sécurisé.

Sur le principe, le traitement des données de santé présente un intérêt certain. Tout d'abord, il s'agit de faciliter la prise en charge des patients tant à l'échelle nationale que dans le cadre de soins transfrontières. En outre, la réutilisation des données de santé à des fins de recherche permettra de faire progresser celle-ci. Par exemple, pour les maladies rares, la mise en commun des données de santé issues de chaque État membre pourrait permettre de composer un ensemble suffisamment significatif. Dès lors, nous avons souhaité soutenir la proposition de règlement sur le principe, tout en insistant sur le fait que le traitement des données de santé devait avoir un impact positif sur la santé des patients et que celui-ci devait se faire dans le respect des règles du RGPD, dans un cadre qui permette de garantir la sécurité des données et une gouvernance partagée.

Il nous paraît tout d'abord essentiel de garantir que cet espace européen des données de santé aura un impact bénéfique pour les patients, que ce soit dans la mise en oeuvre ou dans les modalités de financement.

En premier lieu, nous souhaitons que l'infrastructure MyHealth@EU qui permettra aux professionnels de santé d'un État membre de se connecter au dossier médical électronique d'un patient originaire d'un autre État membre puisse bien assurer la traduction des données nécessaires à la prise en charge du patient. En outre, nous jugeons nécessaire de rappeler que l'utilisation secondaire des données de santé doit être circonscrite aux finalités présentant un lien suffisant avec la santé publique ou la sécurité sociale. Enfin, la proposition de règlement n'a pas, pour nous, vocation à organiser la fourniture de soins de santé au sein de l'Union européenne et c'est pour cela que nous demandons la suppression de l'article 8 du texte qui traite de la télémédecine.

Par ailleurs, la création de cet espace européen des données de santé aura un coût important. La Commission prévoit une contribution du budget de l'Union de 810 millions d'euros et les États membres ont affecté 12 milliards d'euros, au titre de la facilité pour la reprise et la résilience, à des investissements pour la santé, y compris la santé numérique et l'utilisation secondaire des données de santé. Ces dépenses doivent être envisagées comme un investissement. En effet, selon l'étude d'impact présentée par la Commission européenne, le dossier médical électronique permettra d'éviter de répéter des tests qui ont déjà été effectués et de saisir à nouveau les résultats de ces tests. Le gain de temps peut être déterminant pour le patient et des économies substantielles pourraient être réalisées, tant pour les services de santé que pour les patients avec des économies s'élevant respectivement à 4,6 milliards et 4,3 milliards d'euros selon la Commission. En outre, la proposition de règlement prévoit la création d'un système de redevances dans le cadre du traitement à des fins d'utilisation secondaire des données de santé. Ces redevances seraient payées par les utilisateurs de données aux organismes responsables de l'accès aux données. Les détenteurs de données pourront également bénéficier d'une contrepartie en échange de la mise à disposition de leurs données. Sur ce sujet, nous recommandons la création d'un système de redevances permettant de moduler leur montant selon que la finalité du traitement a pour objectif de générer un bénéfice commercial ou non. Enfin, ces données de santé ont une valeur particulièrement importante pour les entreprises pharmaceutiques. Or, l'Union européenne et les États membres vont financer les infrastructures nécessaires à la mise à disposition de données qui auront été fournies gratuitement par les patients. Nous souhaitons donc qu'une réflexion soit engagée pour conditionner l'accès des entreprises pharmaceutiques aux données de santé à leur engagement renforcé en faveur des objectifs de la stratégie pharmaceutique européenne, à savoir, notamment, parer aux besoins médicaux non satisfaits et assurer l'accessibilité et le caractère abordable des médicaments.

Ensuite, concernant la conformité de la proposition de règlement au RGPD, il nous est apparu nécessaire de clarifier certaines dispositions.

Tout d'abord, concernant le consentement des personnes physiques : il faut préciser que le RGPD autorise, à titre dérogatoire, le traitement de données de santé sans le consentement des personnes concernées. Pour le traitement à des fins d'utilisation primaire, nous considérons que la mise à disposition de dossiers médicaux électroniques relève de la compétence des États membres qui sont en charge de l'organisation des soins de santé. Dès lors, nous estimons qu'il appartient aux États membres de déterminer si les patients doivent ou non consentir au traitement de leurs données à des fins d'utilisation primaire. Concernant le traitement à des fins d'utilisation secondaire, la Commission propose de s'appuyer, d'une part, sur l'article 9 du RGPD qui prévoit que le traitement de ces données de santé peut être autorisé pour des motifs d'intérêt public dans le domaine de la santé publique et à des fins de recherche scientifique, et d'autre part, sur l'article 6 du RGPD qui prévoit que le traitement est licite lorsqu'il est autorisé par un texte législatif, ici la proposition de règlement. Ce dispositif permet de ne pas avoir à solliciter le consentement des personnes physiques concernées. Si sur le plan juridique, ce dispositif n'est pas contestable, il nous apparaît néanmoins essentiel de solliciter le consentement des personnes physiques concernées. Celui-ci serait réputé acquis dès lors que les personnes physiques concernées, après avoir été dûment informées, ne manifestent pas d'opposition au traitement de leurs données à des fins d'utilisation secondaire. L'information des personnes concernées et leur consentement restent nécessaires selon nous.

Outre la question du consentement, nous nous sommes intéressées au respect des droits garantis par le RGPD. En ce qui concerne le traitement à des fins d'utilisation primaire, la proposition de règlement tend à conforter les droits prévus par le RGPD en assurant un droit d'accès immédiat et gratuit de chacun à ses données de santé et un droit à la portabilité des données. La proposition de règlement prévoit également un droit de rectification des données de santé qui devra s'exercer avec le concours des professionnels de santé. Ceux-ci devront être tenus d'apporter une réponse argumentée aux demandes de rectification formulées par les patients s'ils ne procèdent pas aux rectifications demandées. Dans le cadre du traitement à des fins d'utilisation secondaire, l'article 38 de la proposition de règlement prévoit uniquement un droit à une information générale sur les finalités du traitement et les données traitées. Nous proposons que ce droit d'information soit individualisé et spécifique, conformément à l'article 14 du RGPD.

Notre collègue Pascale Gruny va maintenant aborder la question de l'accès aux données et de leur sécurité.

Mme Pascale Gruny, rapporteur. - L'objectif de cette proposition de règlement est d'assurer un accès aux données de santé au sein de l'Union européenne. Il s'agit tout d'abord de définir quelles données seront concernées. Dans le cadre du traitement à des fins d'utilisation primaire, nous suggérons d'ajouter les tests de souffle et les électrocardiogrammes à la liste proposée par la Commission. Concernant le traitement à des fins d'utilisation secondaire, nous recommandons de ne pas utiliser les données issues des applications de bien-être qui manquent de fiabilité, à en croire nos interlocuteurs lors des auditions.

Concernant l'accès aux données dans le cadre d'un traitement à des fins d'utilisation primaire, nous recommandons de préciser que les professionnels de santé, dont la définition est particulièrement large, ne puissent accéder aux données que lorsqu'ils en ont besoin pour établir un diagnostic ou délivrer un traitement.

Dans le cadre du traitement à des fins d'utilisation secondaire, nous estimons que toute demande d'accès aux données doit faire l'objet d'un examen préalable par un organisme responsable de l'accès aux données, examen sur lequel sera fondée la décision d'autoriser l'accès ou de le refuser. Dès lors, un accès aux données ne devrait pas pouvoir être accordé lorsque l'organisme responsable de l'accès aux données n'a pas répondu dans le délai imparti comme le propose la Commission. En outre, les utilisateurs de données ne devraient pas pouvoir s'adresser directement à un détenteur de données unique pour obtenir l'accès aux données dont celui-ci dispose. Enfin, les organismes du secteur public et des institutions, organes et organismes de l'Union devraient également, à notre sens, obtenir une autorisation pour pouvoir accéder aux données, sauf cas d'urgence de santé publique.

La sécurité des données est un autre enjeu essentiel de cette proposition de règlement. Afin de garantir cette sécurité, nous estimons nécessaire que les systèmes de dossiers médicaux électroniques fassent l'objet d'une certification par un tiers, à savoir un organisme notifié et enregistré au niveau de l'Union européenne.

De plus, les données seront fournies dans un environnement de traitement sécurisé dans un format anonymisé. La proposition de règlement prévoit que l'organisme responsable de l'accès aux données peut fournir ces données dans un format pseudonymisé à l'utilisateur qui justifie sa demande. Contrairement aux données anonymisées, les données pseudonymisées donnent un certain nombre d'informations sur la personne concernée qui peuvent permettre plus facilement une réidentification. Dès lors, nous souhaitons rappeler que la fourniture de donnés pseudonymisées doit rester l'exception et que toute tentative de réidentification par un utilisateur doit entraîner pour ce dernier l'interdiction d'accès aux données pour une période de cinq ans, soit la sanction maximale prévue par la proposition de règlement, en complément de sanctions civiles et pénales nationales.

Les données anonymisées sont considérées comme des données à caractère non personnel. L'article 5 du règlement sur la gouvernance des données prévoit que la Commission est habilitée à adopter des actes délégués fixant des conditions particulières applicables au transfert vers des États tiers des données de santé à caractère non personnel. En parallèle, la Commission indique, dans le considérant 64 de la proposition de règlement relatif à l'espace européen des données de santé, que même lorsque les données ont été anonymisées, le risque de réidentification ne peut être considéré comme nul. Nous estimons donc que le consentement des personnes concernées est nécessaire pour permettre le transfert de données de santé à caractère non personnel vers un État tiers.

Enfin, nous plaidons pour un hébergement souverain des données de santé afin de les protéger contre l'application extraterritoriale de législations extra-européennes. Cet hébergement devrait se faire sur le territoire de l'Union par une entreprise européenne dans laquelle les participations étrangères cumulées directes ou indirectes sont minoritaires. Nous reprenons ainsi une demande de nos collègues Florence Blatrix Contat, André Gattolin et Catherine Morin-Desailly, formulée dans la récente résolution du Sénat sur le Data act. L'un des points de satisfaction concernant cette proposition de règlement a été de voir que la Commission ne propose pas la création de gigantesques bases composées des données de santé des citoyens européens. En effet, MyHealth@EU est une infrastructure d'échange de données et HealthData@EU s'apparente davantage à une liste des catégories de données dont disposent les organismes responsables de l'accès aux données.

Dernier point : la gouvernance de l'espace européen des données de santé, qui est essentielle pour garantir la protection des données. En effet, nous considérons que la sécurité des données passe par une gouvernance partagée de l'espace européen des données de santé. Tout d'abord, les États membres devront participer activement à la détermination des exigences techniques relatives à la sécurité et à l'interopérabilité des données. Si ces mesures peuvent valablement être adoptées par le biais d'un acte d'exécution, il conviendrait alors d'appliquer la procédure prévue à l'article 5 du règlement (UE) n° 182/2011 qui prévoit un vote des représentants des États membres sur ces mesures. De même, la Commission prévoit de pouvoir compléter par le biais d'actes délégués les catégories de données de santé pouvant faire l'objet d'un traitement, respectivement à des fins d'utilisation primaire et à des fins d'utilisation secondaire. Nous considérons qu'il s'agit là de dispositions essentielles du texte et que ces catégories devraient donc être définies dans la proposition de règlement elle-même et non ultérieurement via un acte délégué pris par la Commission.

Par ailleurs, la proposition de règlement prévoit que les États membres désignent une autorité de santé numérique responsable de la mise en oeuvre des droits et obligations des personnes physiques concernées, dans le cadre du traitement à des fins d'utilisation primaire des données de santé. Elle prévoit également que les États membres désignent un organisme responsable de l'accès aux données chargé d'accorder cet accès dans le cadre d'un traitement à des fins d'utilisation secondaire. Outre la désignation de ces entités nationales, la proposition de règlement prévoit la mise en place d'un comité de l'espace européen des données de santé composé de représentants des autorités de santé numérique et des organismes responsables de l'accès aux données de santé.

Cette architecture appelle deux remarques de notre part. Tout d'abord, il sera nécessaire de bien clarifier les compétences de chaque autorité nouvellement créée et les conditions de leur coopération avec l'autorité de contrôle instituée par le RGPD, qui est la CNIL pour la France. En outre, la réussite de l'espace européen des données de santé repose sur la confiance des patients, des professionnels de santé et des détenteurs de données. Nous proposons donc de préciser que des représentants des patients, des professionnels de santé et des détenteurs de données puissent participer à la gouvernance des autorités de santé numérique, des organismes responsables de l'accès aux données de santé et du comité de l'espace européen des données de santé.

Voilà, mes chers collègues, les diverses observations et recommandations que nous formulons concernant cette proposition de règlement que nous vous soumettons.

M. Jean-François Rapin, président. - Merci beaucoup pour ce travail très précis. Nous sommes dans la droite ligne de ce qui avait été envisagé lors de la conférence sur l'avenir de l'Europe. Le groupe Santé, dont je faisais partie, avait produit des recommandations dans ce sens, plaidant notamment par la création d'un équivalent européen au dossier médical partagé. J'avais fait valoir que, lorsqu'un médecin reçoit en consultation des patients d'un autre État membre, la barrière de la langue peut être un obstacle que le dossier médical partagé permet de surmonter.

M. Dominique de Legge. - Merci à nos deux rapporteurs. J'avoue que je suis un peu étonné que l'on se préoccupe de l'accès aux données de santé à un moment où, dans notre pays, on n'arrive pas déjà à garantir un accès aux soins.

Cependant, je souhaiterais savoir quelles conséquences pratiques aura ce texte pour les professionnels de santé alors que le dossier médical partagé a du mal à progresser. Au fond, quelle est la portée de cette orientation qui nous est proposée ?

M. Jean-Michel Houllegatte. - Au sujet du dossier médical partagé, quelle sera l'architecture ? Les informations médicales vont-elles être enregistrées par les professionnels de santé dans une nouvelle base de données, dans un nouveau dossier médical ?

Par ailleurs, une députée européenne, Michèle Rivasi, s'est interrogée sur le devenir des données collectées pour la délivrance de certificats COVID numérique dont les spécificités ont été reprises par plusieurs États tiers. Avez-vous abordé cette question ? Ces données risquent-elles d'être transmises à l'OMS par l'Union européenne ?

Mme Catherine Morin-Desailly. - Je partage le billet d'humeur de Dominique de Legge. Je m'en étonnais également en entendant les chiffres avancés quant au budget alloué pour la création de cet espace européen des données de santé. Quel chiffre global faut-il retenir comme investissement pour ce projet ? A l'heure où nous manquons cruellement de soignants, il faudra faire preuve de pédagogie auprès des citoyens, car il pourrait y avoir à juste titre une forme d'incompréhension de telles décisions publiques qui pourraient être perçues comme trop éloignées de leurs préoccupations.

Néanmoins, je souscris à un projet qui peut permettre de faire progresser la recherche et d'améliorer les soins. Je voudrais remercier nos deux rapporteurs pour avoir pris soin de se coordonner avec les travaux déjà menés par notre commission sur le Data Act et l'intelligence artificielle. Le partage de données est une source de progrès qu'il faut encourager mais qu'il faut également encadrer.

Par ailleurs, à qui cela va-t-il profiter ? Derrière le partage des données, c'est une nouvelle économie de la santé qui se met en place. Les grands opérateurs qui traiteront ces données sont extra-européens, principalement américains, dont Microsoft. Ces opérateurs veulent se positionner sur un marché extrêmement profitable. Dans ce contexte, on peut se demander si la création de cet espace européen des données de santé va nous rendre plus autonomes et garants de la protection de nos systèmes de traitement de données de santé.

Pour ma part, je reste préoccupée. Alors que, pour la seconde fois, la CJUE a invalidé un accord permettant le transfert des données à caractère personnel des Européens vers les États-Unis, la Commission européenne ne se montre pas plus exigeante au moment où les conditions de ce transfert doivent de nouveau être définies. Lorsque le Président Joe Biden est venu en Europe au lendemain du déclenchement de la guerre en Ukraine, cette question n'a pas été traitée comme elle le devrait. Un accord a été trouvé, sans doute en contrepartie de fournitures de gaz. Nous allons nous acheminer vers une nouvelle annulation par la CJUE de l'accord définissant les conditions de transfert, si des garanties ne sont pas apportées concernant l'application aux données européennes de la loi Foreign Intelligence Surveillance Act (FISA), qui autorise la collecte massive et systématique de données pour raisons de sécurité. Nous sommes dans une situation de grande faiblesse : toutes les sociétés américaines sont soumises au droit américain et continueront à alimenter les agences fédérales de renseignements. C'est un sujet sur lequel il faut être très vigilent et la France doit être ferme sur ce sujet.

Je vous remercie d'avoir pris en compte cet enjeu en précisant que l'hébergement des données de santé doit se faire sur le territoire de l'Union. Toutefois, je pense qu'il faudrait également viser le « traitement », et non seulement l'hébergement. En effet, l'hébergement ne couvre pas l'ensemble des activités des data center. Nous pouvons très bien avoir un data center européen et des services de cloud associés américains. Dans ce cas, les données ne sont pas sécurisées. Il faut donc être regardant sur l'ensemble de la chaîne de gestion des données. D'ailleurs, ce sujet fera, cet après-midi, l'objet d'un amendement de ma part au projet de loi visant à sécuriser et réguler l'espace numérique qui transpose par anticipation le Data Act.

Mme Pascale Gruny, rapporteur. - Concernant la question de l'accès aux soins soulevée par Dominique de Legge, il s'agit effectivement d'un autre sujet. Toutefois, sur les conséquences de la création de ce nouvel espace européen des données de santé pour les professionnels de santé, je peux vous dire, en tant que membre de la commission des affaires sociales, que nous avons pris en compte ce sujet en demandant des fonds supplémentaires. En France, le développement du dossier médical électronique est très lent. Je pense que, d'une part, les français n'en voient pas toujours l'intérêt et ont peur de transmettre leurs données de santé, et d'autre part, les professionnels s'inquiètent d'une charge de travail initiale conséquente pour mettre en place ces dossiers, qu'il faudra en outre alimenter ensuite régulièrement. C'est regrettable car, comme notre Président l'a rappelé, sans même évoquer la question des soins à l'étranger, avoir un dossier dans lequel on peut retrouver l'historique médical d'un patient peut être très utile notamment lorsque celui-ci arrive seul aux urgences et qu'il n'est pas en mesure de s'exprimer. En outre, le partage de données est indispensable pour soutenir la recherche. En élargissant le partage des données au sein de l'Union, nous aurons accès à une base de données plus importante, ce qui constitue un avantage essentiel, notamment pour la recherche sur des maladies rares.. Bien sûr, derrière ce partage des données de santé, c'est une économie qui se crée.

Mme Catherine Morin-Desailly. - Autant qu'une telle économie profite aux acteurs européens et que nous favorisions, à cette occasion, l'industrie européenne du traitement des données.

Mme Pascale Gruny, rapporteur. - Il faut assurer en effet une réciprocité avec les États tiers, notamment les États-Unis, et rester vigilants.

Mme Laurence Harribey, rapporteure. - Nous avons demandé des financements complémentaires pour éviter que les professionnels de santé ne consacrent plus de temps à des tâches administratives au détriment des soins sans compensation. Pour répondre à Jean-Michel Houllegatte, je précise que la proposition de règlement ne crée pas de nouvelles bases de données mais une infrastructure pour permettre le transfert des données dans le cadre d'une utilisation primaire et une infrastructure présentant un catalogue de données disponibles sans accès direct à celles-ci, l'accès étant soumis à autorisation.

En ce qui concerne les données collectées pour établir les certificats COVID numériques, elles l'ont été au sein des États membres et n'ont pas vocation à être transmises à l'OMS. Le certificat COVID numérique est un titre qui permettait de se déplacer pendant la pandémie. Cela ne relève pas du même registre.

Nous discutons de la capacité d'hébergement européenne mais il n'en est pas fait mention dans cette proposition de règlement qui ne propose pas de bases de données communes. Le développement d'un système d'hébergement européen serait effectivement profitable aux États membres. La nécessité de bénéficier de garanties identiques pour autoriser le transfert de données d'une entité européenne vers une entité d'un États tiers ainsi que la mise en place d'un système d'autorisation et de redevances pour l'accès aux données peuvent permettre de limiter les risques d'utilisation abusive de données européennes par des acteurs non européens.

Pour ce qui est de savoir à qui tout cela profitera, nous avons eu le souci de considérer la proposition de règlement en fonction de ce qu'elle pourrait apporter aux patients et pas seulement à l'industrie pharmaceutique, sachant qu'elle peut faire progresser la recherche, notamment sur les maladies rares, à condition de mettre des garde-fous. Nous sommes dans un domaine qui n'est pas évident à appréhender, entre la santé pour laquelle l'Union détient surtout une compétence d'appui et le numérique pour laquelle ses compétences sont plus larges.

Nous sentons bien que le risque de dérive est plus important dans le cadre d'un traitement à des fins d'utilisation secondaire : c'est pour cela que nous avons insisté pour bien circonscrire ce traitement à des finalités en lien direct avec la santé, toujours dans l'intérêt du patient. Mais il n'y a pas de risque zéro.

Mme Pascale Gruny, rapporteur. - Il ne faut pas être naïf, les entreprises du secteur pharmaceutique étant évidemment à but lucratif, mais il est important de favoriser la recherche. Il faut trouver un juste équilibre et mettre en place les garde-fous nécessaires.

L'Union n'a pas une compétence pleine en matière de santé mais elle tend à l'étendre et, au détour de certains textes, tente d'imposer certaines pratiques, comme la télémédecine dans ce texte.

Par ailleurs, nous avons également demandé que les données issues des applications de bien-être, qui ne sont pas très fiables, ne soient pas traitées à des fins d'utilisation secondaire.

M. Dominique de Legge. - Certes il faut alléger autant que possible les tâches administratives mais, bien évidemment, nous avons besoin de cet espace européen des données de santé. Nous défendons tous ici le projet européen mais encore faut-il qu'il soit crédible et ait un sens pour nos compatriotes. Nos compatriotes aujourd'hui s'inquiètent plus de la question de l'accès aux soins que du partage de leurs données médicales.

M. Jean-François Rapin, président. - Revenons sur la proposition d'amendement que suggèrent nos collègues rapporteurs sur les sujets numériques pour notre commission.

Mme Florence Blatrix Contat. - En effet, il semble important de sécuriser l'accès et l'utilisation de ces données en précisant que leur « traitement » doit également se faire sur le territoire de l'Union

Mme Catherine Morin-Desailly. - C'est le point 127 de la proposition de résolution que nous proposons de compléter ainsi : « demande que les données de santé soient hébergées et traitées etc. ».

Mme Pascale Gruny, rapporteur. - Nous sommes un peu embarrassées car le terme « traitement », au sens du RGPD, inclut le transfert vers des États tiers et donc nous nous priverions de tout transfert ce qui, en matière de recherche, nous paraît problématique. Nous proposons donc une autre rédaction : « demande que l'hébergement des données de santé et les services associés soient effectués sur les territoires de l'Union par une entreprise européenne dans laquelle les participations étrangères cumulées, directes ou indirectes, ne soient pas majoritaires ».

Nous proposons aussi une modification à l'alinéa 129 du texte que nous vous avons transmis en amont de cette réunion, consistant à supprimer les termes « à caractère non personnel » pour s'assurer du consentement des personnes concernées au transfert de leurs données, quel que soit le caractère de ces données qui seraient transférées vers un État tiers.

Mme Catherine Morin-Desailly. - Votre proposition me convient. Si je comprends bien, en évitant le mot « traitement », vous souhaitez garder la possibilité que des données des Européens soient transférées vers les États-Unis.

Mme Pascale Gruny, rapporteur. - Cette possibilité mérite en effet d'être questionnée : en matière de recherche sur les maladies rares, le territoire européen n'offre pas suffisamment de données pour avancer. Le partage des données est dans beaucoup de cas essentiel pour la recherche.

M. Didier Marie. - Dans l'hypothèse où des données seraient transférées en dehors de l'Union à des fins de recherche, pourrions-nous garantir le recours à une autorité de contrôle qui valide ces transferts de manière obligatoire et automatique ?

Mme Laurence Harribey, rapporteure. - Le transfert de données vers un État tiers ne peut être effectué que par leur détenteur, sous réserve que l'État de destination respecte le RGPD ; pour les données à caractère personnel ; ou que ce transfert respecte les dispositions prévues par la proposition de règlement relatif à l'espace européen des données de santé ; pour les données à caractère non personnel. L'accès aux données de santé dans le cadre de l'espace européen des données de santé reste soumis au contrôle d'un organisme responsable de l'accès aux données désigné au sein de chaque État membre.

Mme Pascale Gruny -J'ajoute que des sanctions sont prévues lorsque les utilisateurs ne se conforment pas à ces règles.

M. Jean-François Rapin, président. - Si la rédaction proposée par les rapporteurs vous convient, je vous propose de mettre aux voix la PPRE telle qu'amendée et l'avis politique qui en reprend les termes et d'autoriser la publication du rapport d'information.

La commission autorise la publication du rapport d'information et adopte la proposition de résolution européenne et l'avis politique qui en reprend les termes et sera transmis à la Commission européenne.

PROPOSITION DE RÉSOLUTION EUROPÉENNE

Le Sénat,

Vu l'article 88-4 de la Constitution,

Vu le traité sur le fonctionnement de l'Union européenne, notamment les articles 16, 114, 168 et 290,

Vu le règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE,

Vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE,

Vu la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions du 19 février 2020, « Une stratégie européenne pour les données », COM(2020) 66 final,

Vu le règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724,

Vu la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148,

Vu la proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données, COM(2022) 68 final,

Vu la résolution européenne du Sénat n° 140 (2022-2023) du 16 juin 2023 sur la proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données,

Vu le rapport d'information du Sénat « le règlement sur les données, nouvelle étape du marché unique européen des données » (n° 597, 2022-2023) - 11 mai 2023 - de Mme Florence Blatrix Contat, M. André Gattolin et Mme Catherine Morin-Desailly, fait au nom de la commission des affaires européennes,

Vu le règlement (UE) 2021/522 du Parlement européen et du Conseil du 24 mars 2021 établissant un programme d'action de l'Union dans le domaine de la santé (programme « L'UE pour la santé ») pour la période 2021-2027, et abrogeant le règlement (UE) n° 282/2014,

Vu le règlement (UE) 2022/2371 du 23 novembre 2022 du Parlement européen et du Conseil concernant les menaces transfrontières graves pour la santé et abrogeant la décision n° 1082/2013/UE,

Vu la communication de la Commission au Parlement européen et au Conseil, du 3 mai 2022, « Espace européen des données de santé : exploiter le potentiel des données de santé pour les citoyens, les patients et l'innovation », COM(2022) 196 final,

Vu la proposition de règlement du Parlement européen et du Conseil relatif à l'espace européen des données de santé, COM(2022) 197 final,

Vu l'étude d'impact accompagnant la proposition de règlement du Parlement européen et du Conseil relatif à l'espace européen des données de santé, SWD(2022) 131 final,

S'assurer de l'intérêt de la proposition de règlement pour les patients

- sur l'opportunité d'un traitement des données de santé à des fins d'utilisation primaire

Considérant que la proposition de règlement du Parlement européen et du Conseil relatif à l'espace européen des données de santé (ci-après la proposition de règlement) prévoit que ces données puissent être traitées à des fins d'utilisation primaire, c'est-à-dire pour la fourniture de services de santé visant à évaluer, maintenir ou rétablir l'état de santé de la personne physique à laquelle ces données se rapportent ;

Considérant l'intérêt pour les patients de disposer de leurs données de santé au format électronique afin de pouvoir en assurer la portabilité ;

Considérant qu'un dossier médical électronique (DME) présentant les données de santé des patients est utile pour leur prise en charge par un professionnel de santé ;

Considérant qu'il est souhaitable que les patients d'un État membre puissent donner aux professionnels de santé d'un autre État membre accès à leurs données de santé lorsque cela est nécessaire ;

Considérant que cet accès se fera par le biais de l'infrastructure de partage des données MyHealth@EU ;

Considérant que l'article 13 de la proposition de règlement prévoit que les États membres peuvent fournir un service de traduction de ces données ;

Considérant que l'utilisation de dossiers médicaux électroniques peut contribuer à une meilleure efficience du système de santé ; 

Soutient le principe d'un traitement des données de santé à des fins d'utilisation primaire dans l'intérêt des patients ;

Souhaite que MyHealth@EU intègre dès à présent un service de traduction financé par l'Union pour faciliter l'accès des professionnels de santé de tout état membre au DME de leurs patients ; 

- sur l'opportunité d'un traitement des données de santé à des fins d'utilisation secondaire

Considérant le bénéfice qu'une utilisation secondaire des données de santé peut apporter à la recherche médicale ;

Considérant qu'une mise en commun facilitée des données de santé des Européens favoriserait le développement de traitements contre les maladies rares ;

Considérant l'importance des données de santé pour l'élaboration de politiques en réaction aux urgences de santé publique au sens du règlement (UE) 2022/2371, telle que la pandémie de COVID-19 ;

Considérant que la proposition de règlement prévoit que ces données puissent être utilisées à des fins d'utilisation secondaire, c'est-à-dire pour des finalités limitativement énumérées à l'article 34 de la proposition de règlement et incluant notamment la recherche scientifique ayant trait au secteur de la santé ou des soins ;

Soutient le principe d'un traitement des données de santé à des fins d'utilisation secondaire dans l'intérêt des patients et pour des raisons d'intérêt public dans le domaine de la santé ;

Estime nécessaire de rappeler que l'utilisation secondaire des données de santé doit être circonscrite aux finalités présentant un lien suffisant avec la santé publique ou la sécurité sociale et de le préciser aux points f et g de l'article 34, paragraphe 1, de la proposition de règlement ;

- sur les financements nécessaires à la création d'un espace européen des données de santé

Considérant le montant important des investissements nécessaires à la création d'un espace européen des données de santé ;

Considérant que la Commission prévoit une contribution du budget de l'Union de 810 millions d'euros pour soutenir l'Espace européen des données de santé, financée via le programme EU4Health, le programme Horizon Europe, le programme pour une Europe numérique et le mécanisme pour l'interconnexion en Europe ;

Considérant que les patients fournissent gratuitement leurs données ;

Considérant le temps que devront consacrer les professionnels de santé à renseigner les DME de leurs patients et les éventuels investissements qu'ils devront réaliser pour renforcer la sécurité des données de santé dont ils disposent ;

Considérant que les données de santé pourront être traitées à des fins d'utilisation secondaire dans le but de générer un bénéfice commercial ou à des fins d'intérêt public ;

Considérant qu'aux termes de l'article 42 de la proposition de règlement, les organismes responsables de l'accès aux données et les détenteurs de données pourront percevoir respectivement des redevances et une compensation pour la mise à disposition de données de santé électroniques à des fins d'utilisation secondaire ;

Considérant que le règlement (UE) 2022/868 prévoit que ces redevances sont destinées à couvrir les coûts de mise à disposition des données et que les organismes du secteur public peuvent établir une liste des catégories d'utilisateurs pour lesquelles les données à des fins de réutilisation sont mises à disposition moyennant une redevance réduite ou à titre gratuit ;

Appelle la Commission européenne à proposer de consacrer un budget européen supérieur à la création de l'espace européen des données de santé ;

Souhaite qu'une partie de ces fonds puisse bénéficier aux professionnels de santé pour financer, d'une part, leurs investissements dans les outils numériques de traitement des données de santé et dans la sécurité des données traitées par ces outils, et d'autre part, leur formation à ces outils et le renseignement des DME qui ne doit pas se faire au détriment des soins ;

Soutient la mise en place d'un système de redevances permettant de couvrir les coûts de mise à disposition des données, tant pour les organismes responsables de l'accès aux données que pour les détenteurs de données ;

Recommande que ce système puisse permettre de moduler le montant des redevances selon que la finalité du traitement des données de santé a pour objectif de générer un bénéfice commercial ou non ;

Estime qu'il est nécessaire de réfléchir à la mise en place d'un mécanisme conditionnant l'accès des entreprises pharmaceutiques aux données de santé à des fins d'utilisation secondaire à leur engagement renforcé en faveur des objectifs de la stratégie pharmaceutique, et notamment parer aux besoins médicaux non satisfaits et assurer l'accessibilité et le caractère abordable des médicaments ;

- sur la fourniture de services de soins de santé

Considérant que la proposition de règlement a pour base juridique les articles 16 et 114 du traité sur le fonctionnement de l'Union européenne (TFUE) et que ces articles ne traitent pas des questions de santé ;

Considérant que l'article 168, paragraphe 7, du TFUE prévoit que l'organisation et la fourniture de services de santé et de soins médicaux relèvent de la compétence des États membres ;

Estime que la base juridique retenue pour la proposition de règlement ne l'autorise pas à traiter des conditions de fourniture de services de santé, et notamment de la télémédecine ;

Demande en conséquence la suppression de l'article 8 de la proposition de règlement ;

Veiller à la primauté des règles de protection des données à caractère personnel

- Sur la nature des données de santé

Considérant que le règlement (UE) 2016/679 (RGPD) comprend une définition des données de santé à caractère personnel et que la proposition de règlement en propose une nouvelle dont le champ est plus large ;

Considérant que les données de santé à caractère personnel rendues anonymes deviendraient alors des données à caractère non personnel, et ne seraient de ce fait plus protégées par le RGPD puisque les données à caractère non personnel telles que définies par le RGPD incluent l'ensemble des données qui ne sont pas à caractère personnel, y compris les données de santé ;

Considérant qu'il est parfois difficile, en pratique, de distinguer entre des données à caractère personnel et des données à caractère non personnel ;

Considérant que l'article 44 de la proposition de règlement rappelle le principe de minimisation des données établi par le RGPD ;

Considérant qu'aux termes du même article, les organismes responsables de l'accès aux données de santé devraient fournir celles-ci dans un format anonymisé ;

Considérant que, même lorsqu'elles sont rendues anonymes, certaines données peuvent toutefois permettre la réidentification des personnes, notamment dans le cas de maladies rares ;

Considérant que ces données peuvent également être fournies dans un format pseudonymisé lorsque l'utilisateur en fait la demande justifiée ;

Demande à ce que la définition des données de santé à caractère personnel figurant dans la proposition de règlement soit alignée sur celle des données concernant la santé ;

Appelle à davantage préciser la définition des données de santé à caractère non personnel ;

Demande que, lorsque les données de santé à caractère non personnel sont indissociables de données à caractère personnel, les dispositions du RGPD s'appliquent pour leur traitement ;

Souhaite que la fourniture de données de santé pseudonymisées reste l'exception ;

Appelle à prendre toutes les mesures nécessaires pour s'assurer que les utilisateurs ne puissent pas réidentifier les personnes à partir des données de santé fournies, que ce soit en format anonymisé ou en format pseudonymisé ;

Souhaite qu'en cas de tentative de réidentification, un utilisateur de données de santé soit interdit d'accès à de telles données pour une période de cinq ans ;

- Sur le consentement

Considérant que l'article 9, paragraphe 1, du RGPD dispose que le traitement des données de santé à caractère personnel est interdit ;

Considérant que l'article 9, paragraphe 2, du RGPD fixe néanmoins les conditions permettant de déroger à cette interdiction, notamment lorsque la personne concernée a donné son consentement explicite (point a) ou lorsque le traitement est réalisé pour des motifs d'intérêt public ou à des fins de recherche scientifique (points i et j) ;

Considérant, qu'en parallèle, l'article 6, paragraphe 1, du RGPD détermine les conditions de la licéité du traitement, notamment lorsque la personne concernée a donné son consentement (point a) ou encore lorsque le traitement répond à une obligation légale (point c) ou est nécessaire à l'exécution d'une mission d'intérêt public (point e) ;

Considérant, qu'en vertu de l'article 168, paragraphe 7, du TFUE, la fourniture de services de santé relève de la compétence des États membres ;

Estime que le choix d'utiliser ou non des systèmes de DME relève de la seule compétence des État membres ;

Estime en conséquence que, si la proposition de règlement prévoit que les États membres devront garantir l'interopérabilité des données de santé et des systèmes de DME, il appartient, en revanche, aux États membres de décider si le traitement des données de santé à des fins d'utilisation primaire nécessite ou non le consentement du patient ;

Demande que le consentement des personnes concernées soit nécessaire pour permettre le traitement de leurs données de santé à des fins d'utilisation secondaire ;

Recommande que ce consentement puisse être considéré comme acquis lorsque les personnes physiques concernées, après avoir été dûment informées, n'ont pas manifesté d'opposition au traitement de leurs données de santé ;

- Sur les droits des personnes physiques lorsque leurs données de santé font l'objet d'un traitement

Considérant que la proposition de règlement prévoit un droit de rectification des données de santé, conformément au RGPD ;

Considérant que le RGPD vise le « traitement ultérieur » des données et non pas le « traitement à des fins d'utilisation secondaire » ;

Considérant que l'article 34 de la proposition de règlement énumère les finalités autorisées pour un traitement des données de santé à des fins d'utilisation secondaire et que l'article 35 énumère les finalités interdites ;

Considérant que l'article 38, paragraphe 2, de la proposition de règlement prévoit que les organismes responsables de l'accès aux données de santé ne sont pas tenus de fournir aux personnes concernées les informations spécifiques requises à l'article 14 du RGPD lorsque leurs données de santé sont traitées à des fins d'utilisation secondaire ;

Recommande de préciser que les professionnels de santé seront tenus d'apporter une réponse argumentée aux demandes de rectification formulées par les patients de leurs données de santé ;

Souhaite qu'il soit précisé que le traitement à des fins d'utilisation secondaire des données de santé soit assimilé à un traitement ultérieur au sens du RGPD ;

Estime nécessaire, pour éviter toute confusion, de préciser que les finalités qui ne figurent pas à l'article 34 de la proposition de règlement sont interdites et de supprimer l'article 35 ;

Demande à ce que l'article 14 du RGPD s'applique dans le cadre du traitement des données de santé à des fins d'utilisation secondaire, de manière à garantir la fourniture aux personnes concernées qui le souhaitent une information individualisée sur l'utilisation de leurs données ;

Permettre la circulation des données dans un cadre sécurisé

- Concernant le choix des données traitées

Considérant que l'un des objets de la proposition de règlement est de faciliter la circulation des données de santé au sein de l'Union européenne ;

Considérant que plus l'étendue des données traitées est large, plus le coût du traitement est élevé ;

Considérant qu'un traitement efficace des données de santé implique des données de qualité en nombre suffisant ;

Considérant que l'article 5 de la proposition de règlement détermine les catégories prioritaires de données de santé qui devront faire l'objet d'un traitement à des fins d'utilisation primaire et que l'article 33 de la proposition de règlement détermine quant à lui les catégories de données de santé qui pourront être traitées à des fins d'utilisation secondaire ;

Considérant que la circulation des données de santé implique l'interopérabilité des données et des différents systèmes de DME des États membres ;

Considérant que la définition des détenteurs de données inscrite dans la proposition de règlement n'inclut pas expressément les organismes de sécurité sociale ;

Recommande d'ajouter les résultats des tests médicaux tels que les électrocardiogrammes et les tests de souffle effectués dans un cadre médical à la liste des catégories prioritaires de données de santé électroniques à caractère personnel qui devront faire l'objet d'un traitement à des fins d'utilisation primaire ;

Souhaite que les données de santé issues des applications de bien-être ne soient pas incluses dans la liste des catégories de données destinées à une utilisation secondaire en raison de doutes sur leur qualité ;

Demande que les données de santé électroniques provenant d'essais cliniques ne soient fournies qu'une fois les essais de phase III terminés et qu'à la condition d'être protégées ;

Estime qu'un détenteur de données pourra refuser de communiquer les données provenant d'un essai clinique s'il démontre que cela peut remettre en cause le secret des affaires et la confidentialité des droits de propriété intellectuelle ;

Recommande d'inclure les organismes de sécurité sociale dans la liste des détenteurs de données qui devront mettre à disposition les données dont ils disposent dans le cadre d'un traitement à des fins d'utilisation secondaire ;

- Concernant l'accès aux données à des fins d'utilisation primaire

Considérant que l'article 4 de la proposition de règlement prévoit que les professionnels de santé ont accès aux données de santé électroniques de leurs patients dans le cadre d'un traitement à des fins d'utilisation primaire ;

Considérant que les patients seront informés lorsqu'un professionnel de santé accède à leurs données ;

Considérant que la proposition de règlement prévoit la possibilité pour les patients de restreindre l'accès des professionnels de santé à certaines de leurs données mais que ces professionnels de santé seront informés de l'existence de ces données et pourront y accéder lorsque cela est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;

Recommande que les professionnels de santé n'accèdent aux données de santé de leur patient que lorsqu'ils ont besoin de connaître ces données pour établir leur diagnostic ou proposer un traitement, sans préjudice des cas où cela est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;

Appelle à préciser les conditions dans lesquelles les patients seront informés lorsque les professionnels de santé accèdent à leurs données ;

Se félicite des possibilités de restriction d'accès aux données qui sont offertes aux patients ;

Rappelle que le dossier médical partagé n'a pas vocation à remplacer la communication entre un professionnel de santé et son patient dans le cadre d'une consultation ;

- Concernant l'accès aux données à des fins d'utilisation secondaire

Considérant que l'article 36 de la proposition de règlement prévoit que les États membres devront désigner un organisme chargé d'accorder l'accès aux données de santé électroniques à des fins d'utilisation secondaire et d'autoriser leur traitement ;

Considérant que l'article 46 de la proposition de règlement prévoit que, si elle n'est pas expressément donnée dans un délai de quatre mois, l'autorisation d'accès aux données est réputée délivrée par l'organisme responsable ;

Considérant que l'article 49 de la proposition de règlement prévoit également qu'un détenteur de données unique peut traiter directement les demandes d'accès aux données qu'il détient, sans intervention de l'organisme responsable de l'accès aux données ;

Considérant que l'article 48 de la proposition de règlement prévoit, enfin, que les organismes du secteur public et les institutions, organes et organismes de l'Union peuvent accéder aux données sans autorisation de traitement ;

Estime qu'une demande d'accès aux données ne doit être satisfaite que sur autorisation expresse de l'organisme responsable de cet accès ;

Demande, en conséquence, que soient supprimées les dispositions prévoyant de considérer tacitement satisfaite une demande d'accès aux données qui n'aurait pas été examinée dans le délai imparti ;

Estime également qu'aucune demande d'accès aux données ne devrait pouvoir être directement formulée auprès de leur détenteur unique et que l'article 49 devrait donc être supprimé ;

Demande que les organismes du secteur public et les institutions, organes et organismes de l'Union formulent eux aussi une demande d'accès aux données sur laquelle un organisme responsable de l'accès aux données devra statuer, sauf urgence de santé publique telle que définie au règlement (UE) 2022/2371 ;

- Concernant la sécurité des données

Considérant que le traitement des données de santé à des fins d'utilisation secondaire devrait se faire dans un environnement sécurisé ;

Considérant que MyHealth@EU et HealthData@EU ne sont pas des bases de données regroupant des données de santé des patients européens mais plutôt, pour la première, un outil d'échange de données, et pour la seconde, un catalogue de données ;

Considérant les nombreux risques qui pèsent sur la sécurité des données de santé ;

Considérant l'impact que peut avoir la divulgation des données de santé d'un patient pour ce dernier ;

Considérant que la proposition de règlement prévoit que les systèmes de DME feront l'objet d'une auto-certification réalisée par les fabricants, les distributeurs ou les importateurs ;

Considérant l'application extraterritoriale de législations extra-européennes ;

Soutient le recours à des environnements de traitement sécurisé pour le traitement à des fins d'utilisation secondaire des données de santé ;

Se félicite que la Commission n'ait pas pour objectif de compiler les données de santé des patients européens dans une même base ;

Demande que les systèmes de DME fassent l'objet d'une certification par un tiers, à savoir un organisme notifié et enregistré au niveau de l'Union européenne ;

Demande que l'hébergement des données de santé électroniques, et les services associés, soient effectués sur le territoire de l'Union par une entreprise européenne dans laquelle les participations étrangères cumulées directes ou indirectes ne soient pas majoritaires ;

Rappelle qu'aux termes du RGPD, le transfert de données à caractère personnel vers un État tiers ne peut se faire que si le niveau de protection de ces données est au moins équivalent à celui proposé dans l'Union européenne ;

Estime que le transfert de données de santé électroniques vers un État tiers doit faire l'objet du consentement de la personne concernée qui peut consister en une absence d'opposition au traitement de ses données à des fins d'utilisation secondaire ;

Mettre en oeuvre une gouvernance partagée

- Un recours trop large aux actes d'exécution et aux actes délégués

Considérant que la proposition de règlement prévoit que la Commission pourra adopter divers actes d'exécution dans le cadre d'une procédure consultative, conformément à l'article 4 du règlement (UE) n° 182/2011 ;

Considérant, qu'aux termes de l'article 290 du TFUE, la Commission peut se voir déléguer le pouvoir d'adopter des actes non législatifs de portée générale qui complètent ou modifient certains éléments non essentiels de l'acte législatif ;

Considérant que les articles 12, 50 et 52 de la proposition de règlement permettent à la Commission d'adopter, dans le cadre d'une procédure consultative, des actes d'exécution déterminant respectivement les spécificités techniques de MyHealth@EU, des environnements de traitement sécurisé et de HealhData@EU ;

Considérant que l'article 42 de la proposition de règlement habilite la Commission à adopter par le biais d'un acte d'exécution, dans le cadre d'une procédure consultative, les principes et les règles concernant les politiques et les structures liées aux redevances ;

Considérant que l'article 55 vise à permettre à la Commission d'adopter par le biais d'actes d'exécution, dans le cadre d'une procédure consultative, les éléments d'information minimaux que les détenteurs de données doivent fournir concernant les ensembles de données dont ils disposent ;

Considérant que les articles 5, 33, 41 et 45 visent à permettre à la Commission de compléter, par le biais d'un acte délégué, respectivement les catégories prioritaires de données de santé à caractère personnel pour un traitement à des fins d'utilisation primaire, les catégories de données de santé électroniques à caractère personnel pour un traitement à des fins d'utilisation secondaire, les obligations des détenteurs de données, et les informations à fournir dans le cadre d'une demande d'accès aux données à des fins d'utilisation secondaire ;

Estime que les actes d'exécution prévus aux articles 12, 42, 50, 52 et 55 devraient être adoptés dans le cadre de la procédure d'examen prévue à l'article 5 du règlement (UE) n° 182/2011 ;

Demande que la Commission ne puisse pas modifier par le biais d'actes délégués les éléments mentionnés aux articles 5, 33, 41 et 45 de la proposition de règlement ;

- Pour une gouvernance partagée et cohérente

Considérant que l'article 64 de la proposition de règlement prévoit la mise en place d'un comité de l'espace européen des données de santé et de deux groupes chargés de la responsabilité conjointe du traitement concernant respectivement MyHealth@EU et HealthData@EU ;

Considérant que les actes relatifs à l'établissement, à la gestion et au fonctionnement du comité de l'espace européen des données de santé seront adoptés par la Commission par le biais d'un acte d'exécution dans le cadre d'une procédure consultative, conformément à l'article 4 du règlement (UE) n° 182/2011 ;

Considérant que la proposition de règlement prévoit la désignation, au sein de chaque État membre, d'une autorité de santé numérique responsable de la mise en oeuvre des droits et obligations des patients dans le cadre du traitement à des fins d'utilisation primaire de leurs données de santé ;

Considérant que la proposition de règlement prévoit la désignation, au sein de chaque État membre, d'un ou plusieurs organismes responsables de l'accès aux données dans le cadre d'un traitement à des fins d'utilisation secondaire ;

Considérant le rôle essentiel des professionnels de santé, des détenteurs de données, des patients et des États membres dans la mise en oeuvre d'un espace européen des données de santé ;

Considérant que l'article 51 du RGPD institue une autorité de contrôle indépendante chargée de s'assurer du respect des dispositions de ce règlement ;

Estime que les actes d'exécution prévus à l'article 64 de la proposition de règlement devraient être adoptés par le biais d'une procédure d'examen, conformément à l'article 5 du règlement (UE) n° 182/2011 ;

Demande que les associations de patients, les associations de professionnels de santé et les détenteurs de données puissent être représentés, à l'échelle nationale, au sein des autorités de santé numérique et des organismes responsables de l'accès aux données ;

Demande également que ces associations et les détenteurs de données puissent être représentés au sein du comité de l'espace européen des données de santé ;

Appelle à garantir les conditions d'une coopération efficace entre les entités qui seront désignées conformément au règlement, une fois entré en vigueur, et les autorités de contrôle prévues par l'article 51 du RGPD ;

Invite le Gouvernement à faire valoir ces positions dans le cadre des négociations au Conseil.

LISTE DES PERSONNES ENTENDUES

Personnes entendues lors d'un déplacement à Bruxelles

M. Cyril Piquemal, Représentant Permanent adjoint de la France auprès de l'Union européenne, accompagné par les conseillères chargées de la « santé » de la RP, Mmes Irène Georpiopoulos et Marie de Lastelle

M. Giorgio Rossides, chef de cabinet du Commissaire européen à la santé, Mme Stella Kyriakides

Mme Tilly Metz, députée européen (Luxembourg-Verts), membre de la commission de l'environnement et de la santé publique

Mme Fluvia Raffaelli, chef d'unité à la Direction générale de la santé de la Commission européenne

Mmes Véronique Cimina et Michèle Dubrocart, membres de l'administration du Contrôleur européen de la protection des données

Mme Anca Toma, directrice exécutive de l'association « European patients forum »

Personnes entendues à Paris

M. Erik Boucher de Crevecoeur, ingénieur expert à la Direction des technologies et de l'innovation ; Mmes Hélène Guimiot-Breaud, cheffe du service santé et Chirine Berrichi, conseillère pour les questions parlementaires et institutionnelles de la CNIL

Personne ayant répondu à un questionnaire écrit

Pr. Stéphane Oustric, délégué général aux données de Santé et au numérique du conseiller national de l'Ordre des Médecins

* ¹ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

* ² Proposition de règlement fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données - COM(2022) 68 final.

* ³ Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724.

* ⁴ https://www.cairn.info/revue-projectique-2022-HS-page-57.htm

* ⁵ Rapport spécial n° 7/2019 de la Cour des comptes européenne.

* ⁶ Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l'application des droits des patients en matière de soins de santé transfrontaliers.

* ⁷ Ces réseaux permettent de mettre en commun les compétences et les connaissances nécessaires pour traiter des patients atteints de maladies rares en évitant que ceux-ci se déplacent.

* ⁸ MyHeath@EU est une plateforme centrale pour la santé numérique permettant de fournir des services visant à soutenir et à faciliter l'échange de données de santé électroniques entre les points de contact nationaux pour la santé numérique des États membres dans le cadre d'une utilisation primaire de ces données. Aujourd'hui, seuls dix États membres soutiennent le partage des dossiers de patients et des prescriptions électroniques via MyHealth@EU. Il est toutefois prévu que tous les États membres rejoignent MyHealth@EU d'ici à 2025.

* ⁹ Activités de développement et d'innovation pour les produits ou services contribuant à la santé publique à la sécurité sociale, ou à la garantie d'un niveau élevé de qualité et de sécurité des soins de santé, des médicaments ou des dispositifs médicaux.

* ¹⁰ Formation, test et évaluation des algorithmes, entre autres dans les dispositifs médicaux, les systèmes d'IA et les applications de santé numérique...

* ¹¹ Étude d'impact accompagnant la proposition de règlement du Parlement européen et du Conseil relatif à l'espace européen des données de santé, SWD(2022) 131 final.

* ¹² HealthData@EU est une infrastructure transfrontière pour l'utilisation secondaire des données de santé électroniques qui doit notamment permettre aux organismes responsables de l'accès aux données de présenter les données auxquelles ils peuvent permettre l'accès.

* ¹³ Règlement (UE) n° 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE.

* ¹⁴ https://edpb.europa.eu/system/files/2023-04/edpb_edps_jointopinion_202203_europeanhealthdataspace_fr.pdf

* ¹⁵ https://www.lepoint.fr/high-tech-internet/pourquoi-les-hopitaux-sont-les-cibles-des-hackers-08-12-2022-2500948_47.php

* ¹⁶ Directive (UE) n° 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148.

* ¹⁷ https://www.senat.fr/compte-rendu-commissions/20230123/euro.html#toc2

* ¹⁸ Règlement (UE) n° 182/2011 du Parlement Européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission.